La violación de datos se propaga a seis servidores web


La filtración de datos de GoDaddy que afectó a hasta 1,2 millones de servidores web se ha expandido a seis servidores web más que atienden a clientes en todo el mundo. Los seis servidores web comprometidos adicionales son revendedores de los servicios de hospedaje de GoDaddy. El alcance de la intrusión parece ser el mismo que con GoDaddy, con fechas coincidentes de cuándo comenzó la intrusión de seguridad.

Los seis proveedores de hospedaje web comprometidos son:

  • 123Reg
  • Fábrica de dominios
  • Internet del corazón
  • Europa anfitriona
  • Templo de los medios
  • tsoHost

Anuncio publicitario

Continuar leyendo a continuación

Fechas precisas de intrusión

El estado de California publicó una notificación de una violación de seguridad enviada por GoDaddy el 23 de noviembre de 2021.

En la notificación de California, GoDaddy proporcionó fechas específicas para las intrusiones de seguridad.

Las fechas de intrusión son:

  • 06/09/2021
  • 07/09/2021
  • 08/09/2021
  • 09/09/2021
  • 10/09/2021
  • 11/09/2021
  • 07/11/2021

Esas fechas son importantes porque a los clientes de al menos dos de los proveedores de hospedaje se les enviaron avisos que hacían referencia a la misma fecha de intrusión, el 6 de septiembre de 2021, según la información publicada por Wordfence. Eso implica que la causa raíz de las violaciones de datos adicionales está conectada, al menos por fecha, si no más.

Anuncio publicitario

Continuar leyendo a continuación

Las notificaciones enviadas a los clientes de GoDaddy y al menos a dos de los servidores web adicionales también son similares.

Este es el texto de parte del correo electrónico enviado a los clientes de GoDaddy:

“Le escribimos para informarle de un percance de seguridad que afecte su servicio de hospedaje de WordPress administrado por GoDaddy.

El 17 de noviembre, identificamos actividad sospechosa en nuestro entorno de hospedaje de WordPress e inmediatamente comenzamos una investigación con la ayuda de una firma forense de TI de terceros y nos contactamos con la policía.

Nuestra investigación está en curso, pero hemos determinado que, alrededor del 6 de septiembre de 2021, un tercero no autorizado obtuvo entrada a cierta información de autenticación para servicios administrativos, específicamente, su número de cliente y dirección de correo electrónico asociados con su cuenta; su inicio de sesión de administrador de WordPress configurado al inicio; y tu sFTP y
nombres de usuario y contraseñas de la base de datos.

Lo que esto significa es que la parte no autorizada podría haber obtenido la capacidad de ceder a su servicio de WordPress administrado y realizar cambios en él, incluso para alterar su sitio web y el contenido almacenado en él «.

El aviso enviado a los clientes de GoDaddy es similar al aviso por correo electrónico enviado a los clientes de MediaTemple.

Esto es parte del correo electrónico enviado a los clientes de MediaTemple:

“… Hemos determinado que, alrededor del 6 de septiembre de 2021, un tercero no autorizado obtuvo acceso a cierta información de autenticación para servicios administrativos, específicamente, el número de cliente y la dirección de correo electrónico asociados con su cuenta; su inicio de sesión de administrador de WordPress configurado al inicio; y sus nombres de usuario y contraseñas de SFTP y de la base de datos «.

Los administradores de los respectivos servidores web han restablecido las contraseñas y recomiendan que los clientes restablezcan sus contraseñas. Aquellos cuyos datos de certificados SSL fueron expuestos pueden tener que reinstalar sus certificados.

Anuncio publicitario

Continuar leyendo a continuación

¿Los clientes enfrentan sitios web posiblemente comprometidos?

Los clientes de los seis proveedores de hospedaje web adicionales que estuvieron sujetos a una violación de datos pueden enfrentar la posibilidad de problemas de seguridad adicionales dado que sus datos confidenciales estuvieron expuestos durante dos meses sin ser detectados, lo que les dio a los piratas informáticos tiempo para instalar puertas traseras, agregar cuentas administrativas fraudulentas y cargar scripts maliciosos. .

Citas

Lea el aviso de seguridad de Wordfence

GoDaddy Breach se amplía a tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet y Host Europe

Notificación de incumplimiento de seguridad de datos de California

Muestra de correo electrónico enviado por GoDaddy (PDF)





Consultar el artículo en la publicación original

La violación de datos se propaga a seis servidores web
× +info?
A %d blogueros les gusta esto: