[[439934]]

網絡托管巨頭GoDaddy已經證實了此次數據泄露事件，這次至少影響了120萬客戶。

周一，這家世界上最大的域名注冊商在提交給美國證券交易委員會的一份公開文件中說，一個未經授權的攻擊者在9月6日滲透進入到了其系統內，11月17日前，在GoDaddy注意到該漏洞之前，該攻擊者已持續訪問了近兩個半月。

GoDaddy首席信息官在網站公告中說，我們在我們的WordPress托管環境中發現了可疑的攻擊活動，在一家IT取證公司的幫助下立即開始調查，并聯系了相關的執法部門。

具體來說，攻擊者破壞了GoDaddy的WordPress托管環境，這是一項建站服務，它允許公司和個人在托管環境中使用流行的WordPress內容管理系統(CMS)，而不需要自己管理和更新它。

研究人員說，一個未經授權的攻擊者使用了一個被泄露的密碼，進入到了我們管理WordPress的系統中。

潛伏的網絡犯罪分子竊取了諸多信息，其中包括：

120萬名活躍的和非活躍的WordPress管理賬戶的電子郵件和客戶號碼

活躍客戶的sFTP和數據庫用戶名和密碼(密碼現在已經被重置)。

SSL私鑰，該工具用于向互聯網用戶驗證網站的合法性，實現加密并防止冒充攻擊。GoDaddy正在為受影響的客戶發放和安裝新的證書。

它并沒有具體說明有多少客戶受到了數據庫泄露或證書泄露的影響。

公司聲稱："我們的調查正在進行中，我們正在與所有受影響的客戶進行聯系，我們將從這次事件中吸取教訓，并且已經開始采取措施，采用其他的保護措施來加強我們的供應系統。"

公司保護賬號是使用強密碼，還是多因素認證(MFA)，關于賬戶采用的保護方式目前尚且未知。

研究人員通過電子郵件說："目前的關鍵問題是是否使用了多因素認證?由于這次的漏洞是由憑證泄露造成的，我想系統并沒有使用多因素認證的保護機制，而這可能是造成這次漏洞的主要因素。今后，密碼管理至關重要。在可能的情況下采用最小特權可以減少憑證被竊取后所帶來的影響，但最好還是用MFA保護每個登錄用戶，并監控不支持MFA的服務賬戶。"

網絡犯罪分子竊取GoDaddy的客戶信息

談到對用戶的影響，正如GoDaddy在其公告中指出的那樣，后續的網絡釣魚攻擊明顯是一個很需要注意的問題。但是，其他問題也同樣應該被考慮到。

研究人員說，這個漏洞對用戶來說可能意味著以下幾件事。密碼或登錄憑證很有可能被犯罪分子用來獲得其他系統的訪問權。這兩種情況中的任何一種都可能導致這些組織的數據被泄露。

據首席解決方案官Murali Palanisamy說，被破壞的SSL私鑰和證書還可以讓黑客劫持域名，并利用它來勒索贖金。他通過電子郵件說，他們還可以將用戶重定向到看似相同的網站，并部署惡意軟件或收集用戶憑證和信用卡信息等等。所有這些威脅都是非常嚴重的事情。

他補充說，雖然GoDaddy正在努力更新SSL證書，但完成這項工作需要很多時間。

為了緩解該漏洞造成的影響，GoDaddy的客戶需要檢查證書是否已被更新，并將sFTP訪問密碼改為新的且帶有獨特的數字、字母和符號的字符串。

從長遠來看，用戶也可以安裝短期的自動證書。這樣一來，如果密鑰被破壞，它們就不會被攻擊者使用，用戶被攻擊的可能性就會減少很多，GoDaddy的客戶應該及時監測異常活動，并盡快向政府報告情況。

GoDaddy 的網絡事件歷史記錄

這只是該公司今年最新的數據泄露事件。去年，GoDaddy因三起安全事件被廣泛關注。

第一起事件是在2020年3月曝光的，當時一名攻擊者對一名員工進行了釣魚攻擊，獲得了GoDaddy內部系統的訪問權限，并修改了至少五個客戶的域名條目。

然后，在2020年5月，該公司表示，網絡犯罪分子在2019年10月至2020年4月期間訪問其系統后，盜取了客戶的網絡托管賬戶憑證(SSH用戶名和密碼)。在那次事件中，該公司的1900萬活躍用戶中有28000人受到了攻擊。

而在去年11月，針對GoDaddy員工的社會工程學釣魚攻擊使得加密貨幣服務網站NiceHash和Liquid暫時被攻擊者接管，泄露了大量用戶的個人信息。

在此之前，早在2018年，由于云存儲的錯誤配置，GoDaddy還暴露了亞馬遜AWS中數萬個系統的高級配置信息(以及運行這些系統的敏感信息)。

由于其過去發生的網絡事件，GoDaddy已經成為了一個很容易被攻擊的目標，它運行著35,000臺服務器，托管著500多萬個網站，有數百萬人依靠它的服務進行日常業務的運作。由于用戶對此有很高的依賴程度，當出現這樣的情況時，群眾反響會很強烈。

本文翻譯自：https://threatpost.com/godaddys-latest-breach-customers/176530/如若轉載，請注明原文地址。