GoDaddy violado – senhas em texto simples – 1,2 milhões afetados

GoDaddy violado – senhas em texto simples – 1,2 milhões afetados

Esta entrada foi postada em Segurança Geral , PSA , Segurança WordPress em 22 de novembro de 2021 por Mark Maunder    37 Respostas

Há uma atualização disponível aqui:  GoDaddy Breach Widens to tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet e Host Europe

Esta manhã, GoDaddy revelou que um invasor desconhecido obteve acesso não autorizado ao sistema usado para provisionar os sites Managed WordPress da empresa, impactando até 1,2 milhão de seus clientes WordPress. Observe que esse número não inclui o número de clientes desses sites que são afetados por essa violação, e alguns clientes GoDaddy têm vários sites WordPress gerenciados em suas contas.

De acordo com o relatório apresentado por GoDaddy à SEC [1], o invasor inicialmente obteve acesso por meio de uma senha comprometida em 6 de setembro de 2021 e foi descoberto em 17 de novembro de 2021, momento em que seu acesso foi revogado. Embora a empresa tenha tomado medidas imediatas para mitigar o dano, o invasor teve mais de dois meses para estabelecer a persistência, portanto, qualquer pessoa que esteja usando o produto Managed WordPress da GoDaddy deve assumir o compromisso até que possa confirmar que não é o caso.

Parece que GoDaddy estava armazenando credenciais sFTP como texto simples ou em um formato que poderia ser revertido em texto simples. Eles fizeram isso em vez de usar um hash salgado ou uma chave pública, ambos considerados as melhores práticas do setor para sFTP. Isso permitia a um invasor acesso direto às credenciais de senha sem a necessidade de quebrá-las.

De acordo com o arquivamento da SEC: “ Para clientes ativos, sFTP e nomes de usuário e senhas de banco de dados foram expostos. 

Tentamos entrar em contato com a GoDaddy para comentar e confirmar nossas descobertas, mas eles não responderam imediatamente aos nossos pedidos de comentário.

A que o invasor teve acesso?

O arquivamento da SEC indica que o invasor teve acesso aos endereços de e-mail do usuário e aos números dos clientes, à senha de administrador do WordPress original que foi definida no momento do provisionamento e às chaves privadas SSL. Tudo isso pode ser útil para um invasor, mas um item, em particular, se destaca:

Durante o período de 6 de setembro de 2021 a 17 de novembro de 2021, o sFTP e os nomes de usuário e senhas do banco de dados de clientes ativos estavam acessíveis ao invasor. 

GoDaddy armazenava senhas sFTP de forma que as versões em texto simples das senhas pudessem ser recuperadas, em vez de armazenar hashes salgados dessas senhas ou fornecer autenticação de chave pública, que são as duas práticas recomendadas do setor.

Confirmamos isso acessando a interface do usuário do GoDaddy Managed Hosting e pudemos visualizar nossa própria senha, mostrada na captura de tela abaixo. Ao usar autenticação de chave pública ou hashes salgados, não é possível visualizar sua própria senha dessa forma porque o provedor de hospedagem simplesmente não a possui.

Você também notará que o sistema está usando a porta 22, que é Secure File Transfer Protocol. Existem vários tipos de sFTP, e isso confirma que eles estão usando sFTP via SSH, que é criptografado e projetado para ser uma das maneiras mais seguras de transferir arquivos. Armazenar senhas em texto simples ou em um formato reversível para o que é essencialmente uma conexão SSH não é uma prática recomendada.

GoDaddy parece reconhecer que eles armazenaram as senhas do banco de dados como texto simples ou em um formato reversível. Eles também podem ser recuperados por meio da interface do usuário. Infelizmente, armazenar senhas de banco de dados como texto simples é bastante normal em uma configuração do WordPress, onde a senha do banco de dados é armazenada no arquivo wp-config.php como texto. O que é mais surpreendente, nessa violação, é que a senha que fornece acesso de leitura / gravação a todo o sistema de arquivos via sFTP é armazenada como texto simples.

O que um invasor pode fazer com essas informações?

Embora o arquivamento da SEC enfatize o risco potencial de phishing representado por endereços de e-mail e números de clientes expostos, o risco representado por isso é mínimo em comparação com o impacto potencial de sFTP exposto e senhas de banco de dados.

Embora GoDaddy redefinisse imediatamente as senhas sFTP e banco de dados de todos os sites afetados, o invasor teve quase um mês e meio de acesso durante o qual ele poderia ter assumido o controle desses sites ao enviar malware ou adicionar um usuário administrativo malicioso. Isso permitiria que o invasor mantivesse a persistência e o controle dos sites, mesmo depois que as senhas fossem alteradas.

Além disso, com o acesso ao banco de dados, o invasor teria acesso a informações confidenciais, incluindo PII do cliente do site (informações de identificação pessoal) armazenadas nos bancos de dados dos sites afetados e poderia extrair o conteúdo de todos os bancos de dados afetados por completo. Isso inclui informações como hashes de senha armazenados nos bancos de dados de contas de usuários do WordPress dos sites afetados e informações de clientes de sites de comércio eletrônico.

Da mesma forma, um invasor poderia obter controle sobre sites que não alteraram sua senha de administrador padrão, mas seria mais simples para eles simplesmente usar o sFTP e o acesso ao banco de dados para fazer isso.

Em sites onde a chave privada SSL foi exposta, pode ser possível para um invasor descriptografar o tráfego usando a chave privada SSL roubada, desde que eles possam realizar um ataque man-in-the-middle (MITM) que intercepta o tráfego criptografado entre um visitante do site e um site afetado.

O que devo fazer se eu tiver um site WordPress gerenciado por GoDaddy?

GoDaddy entrará em contato com os clientes impactados nos próximos dias. Nesse ínterim, dada a gravidade do problema e os dados aos quais o invasor teve acesso, recomendamos que todos os usuários do Managed WordPress presumam que foram violados e executem as seguintes ações:

  • Se você estiver executando um site de comércio eletrônico ou armazenar PII (informações de identificação pessoal) e o GoDaddy verificar que você foi violado, pode ser necessário notificar seus clientes sobre a violação . Pesquise quais são os requisitos regulamentares em sua jurisdição e certifique-se de cumpri-los.
  • Altere todas as suas senhas do WordPress e, se possível, force uma redefinição de senha para seus usuários ou clientes do WordPress. Como o invasor teve acesso aos hashes de senha em todos os bancos de dados WordPress afetados, ele poderia potencialmente quebrar e usar essas senhas nos sites afetados.
  • Altere todas as senhas reutilizadas e aconselhe seus usuários ou clientes a fazerem o mesmo. O invasor pode usar credenciais extraídas de sites afetados para acessar quaisquer outros serviços onde a mesma senha foi usada. Por exemplo, se um de seus clientes usa o mesmo e-mail e senha em seu site que usa para sua conta do Gmail, o Gmail desse cliente pode ser violado pelo invasor assim que ele quebrar a senha do cliente.
  • Ative a autenticação de dois fatores sempre que possível. O plugin Wordfence fornece isso como um recurso gratuito para sites WordPress, e a maioria dos outros serviços oferecem uma opção para autenticação de dois fatores.
  • Verifique se há contas de administrador não autorizadas em seu site.
  • Faça uma varredura em seu site em busca de malware usando um scanner de segurança.
  • Verifique o sistema de arquivos do seu site, incluindo wp-content/pluginswp-content/mu-plugins, por quaisquer plug-ins inesperados ou plug-ins que não aparecem no menu de plug-ins, pois é possível usar plug-ins legítimos para manter o acesso não autorizado.
  • Fique atento a e-mails suspeitos – o phishing ainda é um risco, e um invasor ainda pode usar e-mails e números de clientes extraídos para obter mais informações confidenciais das vítimas desse comprometimento.

Conclusão

A violação de dados do GoDaddy Managed WordPress provavelmente terá consequências de longo alcance. A oferta Managed WordPress da GoDaddy constitui uma parte significativa do ecossistema WordPress e isso afeta não apenas os proprietários de sites, mas também seus clientes. O processo da SEC diz que “até 1,2 milhão de clientes Managed WordPress ativos e inativos” foram afetados. Os clientes desses sites também são provavelmente afetados, o que torna o número de pessoas afetadas muito maior.

Por enquanto, qualquer pessoa que use a oferta Managed WordPress do GoDaddy deve presumir que seus sites foram comprometidos até que mais informações estejam disponíveis e seguir as etapas que fornecemos neste artigo. Atualizaremos o artigo se houver mais informações disponíveis.

Referências:

  1. Relatório GoDaddy SEC: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm

Nota: Todos os nomes de produtos, logotipos e marcas são propriedade de seus respectivos proprietários nos Estados Unidos e / ou outros países. Todos os nomes de empresas, produtos e serviços usados ​​nesta página são apenas para fins de identificação. O uso desses nomes, logotipos e marcas não implica endosso.

1 comment

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Agendar Orçamento

Atendimento de segunda a sexta das 7:30 pm as 05:00 am

Sabado e Domingo das 2:00 pm até as 12:00 pm .

[bookly-form]