Утечка данных в GoDaddy длилась три года - заявление компании

Неизвестные злоумышленники годами присутствовали в системах GoDaddy, устанавливая вредоносное ПО, крадя исходный код и атакуя клиентов компании, подтвердил гигант веб-хостинга в отчете SEC в конце прошлой недели.

Утечка данных в GoDaddy длилась три года. Фото: СС0

Сообщается, что злоумышленники взломали среду общего хостинга GoDaddy cPanel и использовали ее в качестве стартовой площадки для дальнейших атак. Компания описала хакеров как «сложную группу злоумышленников».

В конечном итоге группу заметили, когда в конце 2022 года клиенты начали сообщать, что трафик, поступающий на их веб-сайты, перенаправляется в другое место.

Теперь в GoDaddy считают, что все утечки данных, о которых сообщалось в марте 2020 года и ноябре 2021 года, были связаны между собой.

Из сообщения компании:

«Основываясь на нашем расследовании, мы считаем, что эти инциденты являются частью многолетней кампании изощренной группы злоумышленников, которая, среди прочего, установила вредоносное ПО в наши системы и получила фрагменты кода, связанные с некоторые услуги в GoDaddy».

Во время инцидента в ноябре 2021 года злоумышленники получили доступ к пользовательским данным около 1,2 миллиона клиентов. Они включали сведения об как активных, так и неактивных пользователях, с открытыми адресами электронной почты и номерами клиентов.

Компания также заявила, что исходный пароль администратора WordPress, созданный после завершения новой установки WordPress, также был раскрыт, что дало злоумышленникам доступ к этим установкам.

В GoDaddy также сообщили, что у активных клиентов были свои учетные данные sFTP, а также имена пользователей и пароли для своих баз данных WordPress, которые используются для хранения всего их контента, раскрытого в результате взлома.

Однако в некоторых случаях закрытые ключи SSL клиента были раскрыты, и в случае злоупотребления этот ключ мог позволить злоумышленнику выдать себя за веб-сайт клиента или другие службы.

Хотя команда GoDaddy сбросила пароли и закрытые ключи WordPress клиентов, в настоящее время ведется выдача новых SSL-сертификатов.

В заявлении опубликованном в феврале 2023 года, команда компании утверждает, что наняла внешнюю группу экспертов по кибербезопасности и привлекла правоохранительные органы со всего мира для дальнейшего расследования этого вопроса.

Теперь также ясно, что атаки на GoDaddy были частью более широкой кампании против хостинговых компаний по всему миру.

Из сообщения компании:

«У нас есть доказательства, и правоохранительные органы подтвердили, что этот инцидент был совершен сложной и организованной группой, нацеленной на услуги хостинга, такие как GoDaddy. Согласно полученной нами информации, их очевидной целью является заражение веб-сайтов и серверов вредоносными программами для проведения фишинговых кампаний, распространения вредоносных программ и других вредоносных действий».

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме