Por qué la violación de datos de GoDaddy de +1 millón de clientes es peor de lo que se describe


Más de un millón de clientes de hosting de GoDaddy sufrieron una violación de datos en septiembre de 2021 que pasó desapercibida durante dos meses. GoDaddy describió el evento de seguridad como una vulnerabilidad. Los investigadores de seguridad indican que la causa de la vulnerabilidad se debió a una seguridad inadecuada que no cumplía con las mejores prácticas de la industria.

La declaración de GoDaddy anunció que han cambiado las contraseñas de los clientes afectados de su hospedaje administrado de WordPress.

Sin embargo, el simple hecho de cambiar las contraseñas no soluciona por completo los posibles problemas dejados por los piratas informáticos, lo que significa que hasta 1,2 millones de clientes de hosting de GoDaddy pueden seguir afectados por problemas de seguridad.

GoDaddy informa a la SEC del incumplimiento

El 22 de noviembre de 2021, GoDaddy informó a la Comisión de Intercambio y Seguridad de los Estados Unidos (SEC) que habían descubierto un «acceso de terceros no autorizado» a su «entorno de alojamiento de WordPress administrado».

Anuncio publicitario

Continuar leyendo a continuación

La investigación de GoDaddy reveló que la intrusión comenzó el 6 de septiembre de 2021 y solo se descubrió el 17 de noviembre, dos meses después.

Quién se ve afectado y cómo

La declaración de GoDaddy dice que hasta 1,2 millones de clientes de su entorno de hospedaje administrado de WordPress pueden verse afectados por la violación de seguridad.

Según la declaración a la SEC, la violación de datos se debió a una contraseña comprometida en su sistema de aprovisionamiento.

Un sistema de aprovisionamiento es el proceso para configurar a los clientes con sus nuevos servicios de hospedaje, asignándoles espacio de servidor, nombres de usuario y contraseñas.

GoDaddy explicó lo que sucedió:

«Usando una contraseña comprometida, un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredado para WordPress administrado».

Anuncio publicitario

Continuar leyendo a continuación

Datos de clientes de GoDaddy expuestos:

  • Correos electrónicos
  • Números de cliente
  • Contraseñas originales de nivel de administrador de WordPress
  • Nombres de usuario y contraseñas de FTP seguro (SFTP)
  • Nombres de usuario y contraseñas de la base de datos
  • Claves privadas SSL

¿Qué causó la violación de seguridad de GoDaddy?

GoDaddy describió la causa de la intrusión como una vulnerabilidad. Una vulnerabilidad generalmente se considera una debilidad o falla en la codificación del software, pero también puede surgir de una falla en las buenas medidas de seguridad.

Los investigadores de seguridad de Wordfence hicieron el desconcertante descubrimiento de que el hospedaje de WordPress administrado de GoDaddy almacenaba nombres de usuario y contraseñas sFTP de una manera que no se ajustaba a las mejores prácticas de la industria.

SFTP significa Protocolo seguro de transferencia de archivos. Es un protocolo de transferencia de archivos que permite a alguien cargar y descargar archivos desde un servidor de hospedaje utilizando una conexión segura.

Según los expertos en seguridad de Wordfence, los nombres de usuario y las contraseñas se almacenaron en forma de texto sin cifrar, lo que permitió a un pirata informático recolectar libremente nombres de usuario y contraseñas.

Wordfence explicó el error de seguridad que descubrieron:

“GoDaddy almacenaba las contraseñas sFTP de tal manera que se podían recuperar las versiones de texto sin formato de las contraseñas, en lugar de almacenar hashes salados de estas contraseñas o proporcionar autenticación de clave pública, que son las mejores prácticas de la industria.

… Almacenar contraseñas de texto sin formato o contraseñas en un formato reversible para lo que es esencialmente una conexión SSH no es una práctica recomendada «.

Anuncio publicitario

Continuar leyendo a continuación

Es posible que los problemas de seguridad de GoDaddy continúen

La declaración de GoDaddy a la SEC declaró que la exposición de los correos electrónicos de los clientes podría provocar ataques de phishing. También comunicaron que se restablecieron todas las contraseñas de los clientes afectados, lo que parece cerrar la puerta a la brecha de seguridad, pero ese no es del todo el caso.

Sin embargo, habían transcurrido más de dos meses completos cuando GoDaddy descubrió el fallo de seguridad y la intrusión, lo que significa que los sitios web alojados en GoDaddy aún podrían estar en un estado comprometido si no se han eliminado los archivos maliciosos.

No es suficiente cambiar las contraseñas de los sitios web afectados, debería haberse realizado un análisis de seguridad exhaustivo para asegurarse de que los sitios web afectados estén libres de puertas traseras, troyanos y archivos maliciosos.

Anuncio publicitario

Continuar leyendo a continuación

La declaración oficial de GoDaddy no ha dicho nada sobre mitigar los efectos de los sitios web ya comprometidos.

Los investigadores de seguridad de Wordfence reconocieron esta deficiencia:

“… El atacante tuvo casi un mes y medio de acceso durante el cual podría haberse apoderado de estos sitios cargando malware o agregando un usuario administrativo malintencionado. Hacerlo permitiría al atacante mantener la persistencia y retener el control de los sitios incluso después de que se cambiaran las contraseñas «.

Wordfence también afirma que el daño no se limita a las empresas alojadas en el hospedaje administrado por WordPress. Los investigadores de seguridad observaron que el entrada de los piratas informáticos a las bases de datos del sitio web podría conducir al entrada a la información del cliente del sitio web, revelando información confidencial del cliente almacenada en sitios web de comercio electrónico.

Anuncio publicitario

Continuar leyendo a continuación

Los efectos de la violación de datos de GoDaddy pueden continuar

GoDaddy solo anunció que restablecieron las contraseñas. Sin embargo, no se dijo nada sobre la identificación y reparación de bases de datos comprometidas, la eliminación de cuentas de administrador fraudulentas y la búsqueda de scripts maliciosos que se hayan cargado, sin mencionar posibles violaciones de datos de información confidencial de clientes de sitios de comercio electrónico alojados en GoDaddy.

Citación

GoDaddy anuncia un contratiempo de seguridad que afecta el servicio administrado de WordPress

Leer el informe de seguridad de Wordfence

GoDaddy violado – Contraseñas de texto sin formato – 1.2M Afectado





Consultar el artículo en la publicación original

Por qué la violación de datos de GoDaddy de +1 millón de clientes es peor de lo que se describe
× +info?
A %d blogueros les gusta esto: