GoDaddy sufre un hackeo que afectó los datos de más de un millón de clientes
El gigante del alojamiento web GoDaddy confirmó recientemente otra infracción de datos. Esta vez, el incidente ha afectado al menos a 1.2 millones de sus clientes.
Ayer, el registrador de dominios más grande del mundo dijo en una presentación pública que un “tercero no autorizado” logró infiltrarse en sus sistemas el 6 de septiembre. Lo peor de todo es que los atacantes tuvieron acceso continuo durante casi dos meses y medio, antes de que GoDaddy notara la infracción el 17 de noviembre.
“Identificamos actividad sospechosa en nuestro entorno de alojamiento administrado de WordPress. Por ello, inmediatamente comenzamos una investigación con la ayuda de una firma forense de informática y contactamos a la policía”.
Demetrius Comes, CISO de GoDaddy, en el aviso publicado del sitio web.
Específicamente, los atacantes comprometieron el entorno de alojamiento administrado de WordPress de GoDaddy. Este es un servicio de creación de sitios que permite a las empresas y a las personas usar el popular sistema de administración de contenido (CMS) de WordPress en un entorno alojado. Es decir, los clientes no tienen que administrarlo y actualizarlo ellos mismos.
Según el informe de la empresa, los atacantes usaron una contraseña comprometida que les permitió acceder al sistema de aprovisionamiento en la base de código heredado para WordPress administrado.
Información comprometida por los atacantes
La información a la cual los ciberdelincuentes pudieron acceder es variada. La empresa ubicada en Scottsdale, Arizona, dijo que entre la información expuesta destaca la siguiente:
- Correos electrónicos y números de usuarios para al menos 1.2 millones de clientes de WordPress administrados activos e inactivos
- sFTP y nombres de usuario y contraseñas de bases de datos para clientes activos. Como contramedida, GoDaddy está restableciendo las contraseñas
- Claves privadas SSL “para un subconjunto de clientes activos”. Estas se utilizan para autenticar sitios web para los usuarios de Internet, habilitar el cifrado y prevenir ataques de suplantación de identidad. GoDaddy está en
- proceso de emitir e instalar nuevos certificados para los clientes afectados.
La empresa no detalló la cantidad de clientes afectados por el inicio de sesión de la base de datos o los compromisos de certificados.
“Nuestra investigación está en curso y estamos contactando a todos los clientes afectados directamente con detalles específicos”. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema con capas adicionales de protección”, concluyó Comes
No obstante, quedan preguntas sobre cómo están protegiendo las cuentas en sí. ¿Están utilizando contraseñas seguras o autenticación multifactor (MFA)?
La pregunta clave es, ¿Están utilizando autenticación multifactor? Dado que esta infracción fue causada por una credencial comprometida, seguramente el inicio de sesión no estaba protegido por autenticación multifactor, que es un elemento que podría haber evitado esta infracción. En la actualidad, la administración de claves y contraseñas es crucial. Aplicar el privilegio mínimo donde corresponda puede disminuir el impacto de una credencial comprometida. Sin embargo, aún así es mejor proteger cada inicio de sesión con MFA y monitorear las cuentas de servicio que no son compatibles con MFA.
Clientes de GoDaddy en la mira de los ciberdelincuentes
Cuando se trata de las consecuencias para los afectados, el phishing es lo primero a tener en cuenta, tal como lo señaló GoDaddy en su anuncio. Pero también se deben considerar otros problemas.
Esta filtración podría significar algunas cosas malas para los usuarios. Existe la posibilidad de que se utilicen claves o credenciales para obtener acceso o hacerse pasar por los sitios de los clientes. Cualquiera de estos escenarios también podría llevar a comprometer los datos [de los clientes] de esas organizaciones. Si bien esta infracción sólo ha afectado a algunos clientes, otras pueden causar daños graves a la marca debido a sitios suplantados o una infracción real.
Además, las claves privadas y los certificados SSL comprometidos también podrían permitir a los ciberdelincuentes secuestrar un nombre de dominio y utilizarlo para obtener un rescate por su devolución.
Asimismo, los ciberdelincuentes pueden redirigir a los usuarios a un sitio web falso. Este sitio falso puede desplegar malware o recopilar credenciales de usuario e información de tarjetas de crédito y mucho más. Todas estas amenazas son eventos que pueden ocurrir.
Si bien GoDaddy está trabajando para actualizar los certificados SSL, llevará tiempo lograrlo. Por lo tanto, probablemente los afectados tomarán acciones por ellos mismos.
Acciones para protegerse
Para mitigar las vulnerabilidades actuales, los clientes de GoDaddy deben verificar que los certificados estén actualizados. Y, deben cambiar las contraseñas para el acceso sFTP a una contraseña segura que incluya números, letras y símbolos nuevos y únicos. También deben incorporar una capacidad de agilidad criptográfica, que les permitirá una transferencia rápida de certificaciones y claves.
A largo plazo, los usuarios también podrían incorporar certificados automatizados de corta duración.
De esta manera, si las claves están comprometidas, los atacantes no las podrán utilizar y la ventana de oportunidad para ataques tan sofisticados se reduce. Los clientes de GoDaddy deben monitorear la actividad inusual e informar cualquier señal de alerta lo antes posible.
Historial de incidentes cibernéticos de GoDaddy
Este es solo el último incidente de datos de la compañía. El año pasado, GoDaddy fue noticia con tres incidentes separados.
El primero salió a la luz en marzo de 2020, cuando un atacante suplantó a un empleado para obtener acceso al sistema de soporte interno de GoDaddy. El ciberdelincuente cambió los registros de nombres de dominio de al menos cinco clientes.
Luego, en mayo de 2020, la compañía dijo que los ciberdelincuentes habían robado las credenciales de la cuenta de alojamiento web de los clientes (nombres de usuario y contraseñas SSH), luego de tener acceso a sus sistemas desde octubre de 2019 hasta abril de 2020. En ese incidente, 28,000 de los 19 millones de clientes activos de la compañía se vieron afectados por el ataque.
Y en noviembre pasado ocurrió un ataque de “vishing” de ingeniería social contra los empleados de GoDaddy. El ataque entregó temporalmente el control de los sitios de servicios de criptomonedas NiceHash y Liquid a los estafadores, exponiendo la información personal de los usuarios.
Antes de eso, GoDaddy también expuso información de configuración de alto nivel para decenas de miles de sistemas en Amazon AWS en 2018. Este incidente ocurrió debido a una configuración incorrecta del almacenamiento en la nube.
Debido a su historial de incidentes cibernéticos, GoDaddy se ha convertido en un objetivo fácil. Godaddy opera 35,000 servidores que albergan más de cinco millones de sitios web, y millones de personas confían en sus servicios para las operaciones diarias de sus negocios y pasatiempos. Debido al nivel de dependencia del usuario, las repercusiones pueden ser graves cuando se presenta una situación como esta.
Hasta el cierre de esta nota, GoDaddy no ha brindado más declaraciones que las publicadas en su sitio web.