GoDaddy sufre violación de datos que afecta a 28,000 credenciales de clientes

GoDaddy, el registrador de nombres de dominio más grande del mundo, advirtió a los clientes que atacantes pueden haber obtenido sus credenciales de cuenta de alojamiento web.

Una “persona no autorizada” pudo acceder a los datos de inicio de sesión de los usuarios. Esto en una intrusión que la compañía dijo que tuvo lugar en octubre. Las afirmaciones de la compañía a Threatpost confirman que el problema se descubrió el 23 de abril.

La compañía dijo que la violación solo afectó a las cuentas de alojamiento, no a las cuentas de clientes generales de GoDaddy.com. Asegura que no se accedió a los datos de los clientes en las cuentas principales. La compañía con sede en Scottsdale, Arizona, tiene más de 19 millones de clientes en todo el mundo, pero solo 28,000 fueron afectados por el ataque.

Duración del ataque

La compañía no confirmó cuánto tiempo el atacante tuvo acceso a las credenciales. GoDaddy hizo ha dado las siguientes declaraciones:

“El 23 de abril de 2020, identificamos que los nombres de usuario y las contraseñas de SSH habían sido comprometidos. El incidente fue provocado por una persona no autorizada en nuestro entorno de alojamiento”, afirmó un portavoz a Threatpost.

“Esto afectó aproximadamente a 28,000 clientes. Inmediatamente restablecimos estos nombres de usuario y contraseñas. También eliminamos un archivo SSH autorizado de nuestra plataforma. Hasta ahora no tenemos ningún indicio de que la persona haya utilizado las credenciales de nuestros clientes o modificado las cuentas de alojamiento de clientes. El individuo no tenía acceso a las cuentas principales de GoDaddy de los clientes “.

Mientras tanto, “recientemente identificamos actividad sospechosa en un subconjunto de nuestros servidores e inmediatamente comenzamos una investigación”. Esto según afirmaciones de la compañía en un aviso de violación de datos presentado ante el Fiscal General de California, obtenido por los medios.

“La investigación encontró que una persona no autorizada tenía acceso a información de inicio de sesión utilizada para conectarse a SSH en cuentas de hosting. No tenemos evidencia de que se hayan agregado o modificado archivos en su cuenta. El individuo no autorizado ha sido bloqueado de nuestros sistemas, y continuamos investigando el impacto potencial en nuestro entorno”.

SSH generalmente se usa para iniciar sesión en una máquina remota y ejecutar comandos. Empero, también se usa para transferir archivos usando los protocolos de transferencia de archivos SSH (SFTP) o copia segura (SCP) asociados.

Incidente ocurrido en octubre

“GoDaddy indica que las cuentas de los clientes se vulneraron en octubre de 2019.  Sin embargo, aparentemente acaban de detectar el compromiso y notificar a los clientes”, dijo Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel, por correo electrónico.

“Si este es el caso, significa que el atacante tenía el control de las cuentas de alojamiento de clientes de GoDaddy durante aproximadamente siete meses. Es decir, mucho tiempo antes de que se descubriera el incidente.

GoDaddy declaró a los clientes afectados que “no tenemos evidencia de que se hayan agregado o modificado archivos en su cuenta”. Sin embargo, parece muy inverosímil que un atacante tenga acceso durante tanto tiempo sin intentar nada malo. Simplemente no es lógico.

GoDaddy debería proporcionar más información sobre la investigación y las pruebas para respaldar este reclamo. Asimismo, debe explicar por qué tardó casi medio año en detectarlo”.

La compañía también dijo que lanzó una investigación “inmediatamente” al descubrir la violación, pero no dijo cómo se llevó a cabo el ataque. Empresas se seguridad han pedido detalles técnicos sobre el incidente.

Respuesta de GoDaddy

En respuesta al incidente, GoDaddy ha restablecido las contraseñas de los usuarios afectados: “Hemos restablecido de manera proactiva la información de inicio de sesión de tu cuenta de alojamiento para ayudar a evitar cualquier acceso no autorizado. Por precaución, te recomendamos que realices una auditoría de tu cuenta de alojamiento.”

Esta es solo la violación de datos más reciente de GoDaddy. En marzo, un atacante engañó a un empleado para obtener acceso al sistema de soporte interno de GoDaddy. Posteriormente el atacante cambió al menos cinco entradas de nombre de dominio del cliente.

“Es una práctica de seguridad terrible, pero tampoco es raro que los técnicos de soporte ingresen información confidencial. Por ejemplo, contraseñas de cuentas, en notas en sus sistemas de seguimiento de tickets”, dijo Clements.

“No es difícil imaginar que con el acceso a un sistema de soporte interno los atacantes podrían haber extraído la mayor cantidad de datos posible del sistema de seguimiento de soporte técnico para luego buscar otras vías de ataque”. Si bien esto no se ha confirmado, explicaría fácilmente la fuente de los nuevos ataques “.

GoDaddy también expuso información de configuración de alto nivel. Lo hizo para decenas de miles de sistemas (y opciones de precios competitivamente sensibles para ejecutar esos sistemas) en Amazon AWS en 2018. La exposición de información fue producto de otra configuración incorrecta de almacenamiento en la nube.