Ieri 22 novembre 2021, GoDaddy ha rivelato che un utente malintenzionato e sconosciuto aveva ottenuto l’accesso non autorizzato al sistema utilizzato da GoDaddy per la fornitura dei “siti wordpress” di circa 1,2 milioni di clienti.
GoDaddy ha preso provvedimenti immediati per mitigare il danno ma l’attaccante ha avuto più di due mesi per consolidare la sua posizione all’interno dei sistemi violati.
Un altro problema riguarda il fatto che GoDaddy stesse archiviando le password come testo normale o in un formato che potrebbe essere invertito in testo normale molto facilmente.
Pertanto, GoDaddy stessa ha dichiarato che: ” Per i clienti attivi, sono stati esposti nomi utente e password di sFTP e database. “
L’attaccante ha avuto accesso agli indirizzi e-mail degli utenti e ai numeri dei clienti, la password originale dell’amministratore di WordPress impostata al momento del provisioning e le chiavi private SSL. Inoltre, durante il periodo dal 6 settembre 2021 al 17 novembre 2021, i nomi utente e le password sFTP e del database dei clienti attivi erano accessibili all’attaccante.
Nonostante GoDaddy abbia immediatamente reimpostato le password sFTP e del database di tutti i siti interessati, l’autore dell’attacco ha avuto quasi un mese e mezzo di accesso durante il quale avrebbe potuto impossessarsi di questi siti caricando malware o aggiungendo un utente amministrativo malintenzionato. Ciò consentirebbe all’aggressore di mantenere il controllo dei siti anche dopo la modifica delle password.
Inoltre, con l’accesso al database, l’aggressore avrebbe avuto accesso a tutte le informazioni archiviate nei database dei siti interessati, e avrebbe potuto, ovviamente, anche estrarne il contenuto per intero. Ciò include informazioni come gli hash delle password archiviati nei database degli account utente di WordPress dei siti interessati e le informazioni sui clienti dai siti di e-commerce.
Cosa fare se sei coinvolto in questo breach?
GoDaddy dovrebbe averti già contattato se sei coinvolto o potrebbe farlo nei prossimi giorni. Nel frattempo, data la gravità del problema e i dati a cui ha avuto accesso l’attaccante, consigliamo a tutti gli utenti di siti WordPress forniti da GoDaddy di presumere di essere stati violati ed eseguire le seguenti azioni:
- Se stai gestendo un sito di e-commerce e GoDaddy verifica che sei stato violato, potresti dover informare i tuoi clienti della violazione.
- Modifica tutte le password di WordPress e, se possibile, forza la reimpostazione della password per i tuoi utenti o clienti di WordPress. Poiché l’autore dell’attacco ha avuto accesso agli hash delle password in ogni database WordPress interessato, potrebbe potenzialmente decifrare e utilizzare tali password sui siti interessati.
- Modifica le password riutilizzate e consiglia di farlo anche ai tuoi utenti o clienti. L’autore dell’attacco potrebbe potenzialmente utilizzare le credenziali estratte dai siti interessati per accedere a qualsiasi altro servizio in cui è stata utilizzata la stessa password. Ad esempio, se uno dei tuoi clienti utilizza sul tuo sito la stessa e-mail e password che usa per il proprio account Gmail, la posta elettronica di quel cliente potrebbe essere violata dall’autore dell’attacco una volta decifrata la password di quel cliente.
- Abilita l’autenticazione a 2 fattori ove possibile.
- Controlla il tuo sito per gli account amministratore non autorizzati.
- Scansiona il tuo sito alla ricerca di malware utilizzando uno scanner di sicurezza.
- Controlla il file system del tuo sito, inclusi “wp-content/pluginse” e “wp-content/mu-plugins”, per eventuali plug-in imprevisti o plug-in che non compaiono nel menu dei plug-in, poiché è possibile utilizzare plug-in legittimi per mantenere l’accesso non autorizzato.
- Fai attenzione alle e-mail sospette: il phishing è ancora un rischio e un utente malintenzionato potrebbe comunque utilizzare le e-mail e i numeri dei clienti estratti per ottenere ulteriori informazioni sensibili dalle vittime di questo compromesso.
Concludendo, è probabile che il data breach subito da GoDaddy per i siti WordPress possa avere conseguenza ben più ampie di quello che appare ora. Di fatto, l’offerta Managed WordPress di GoDaddy costituisce una parte significativa dell’ecosistema WordPress e questo riguarda non solo i proprietari di siti (abbiamo detto 1,200 M), ma anche i loro clienti.
Riferimenti:
- GoDaddy SEC Report: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
Se l’hai trovato interessante, condividilo!