GoDaddy tardó siete meses en descubrir la violación de datos

Los profesionales de ciberseguridad están criticando con fuerza en GoDaddy después de que la compañía de registro de dominios informara que un extraño había accedido a las credenciales de inicio de sesión de los clientes que posiblemente afecten a los 19 millones de cuentas de la compañía.

GoDaddy informó a sus clientes el 4 de mayo de la violación diciendo que una persona no autorizada accedió a las credenciales de inicio de sesión utilizadas para conectarse a SSH en la cuenta de hosting. La violación tuvo lugar en octubre de 2019, pero solo se descubrió el 23 de abril.

Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, mencionó dos indicadores que indican que la empresa tuvo la culpa de la violación. El primero es que GoDaddy ofrece a sus clientes la eliminación gratuita de Website Security Deluxe y Express Malware en respuesta al incidente.

"La segunda preocupación es que GoDaddy indica que las cuentas de los clientes se violaron en octubre de 2019, sin embargo, aparentemente solo acaba de detectar el compromiso y notificó a los clientes. Si este es el caso, significa que el atacante tenía el control de las cuentas de alojamiento de clientes de GoDaddy durante aproximadamente 7 meses antes de que se descubrieran", dijo.

Demetrius Comes, CISO y vicepresidente de ingeniería de GoDaddy, dijo que la persona no autorizada ha sido bloqueada y que la compañía no ve evidencia de que se hayan agregado o modificado archivos. Para Clements, parece "muy inverosímil" que alguien tenga acceso durante un período tan largo sin intentar algo nefasto.

Desafortunadamente, aunque la conexión establecida puede estar cifrada, la capacidad de conexión no es muy segura. Un delincuente podría atacar el servidor SSH utilizando nombres de usuario comunes como "administrador" o "administrador" y lanzar un ataque de fuerza bruta para adivinar la contraseña y luego obtener acceso mediante una extensa lista de contraseñas comunes, dijo.

La empresa restableció todas las contraseñas y GoDaddy recomienda que todos los clientes realicen una autoauditoría de su cuenta de hosting, pero en la comunidad de ciberseguridad hay rumores de que la respuesta de GoDaddy es inadecuada. El hecho de que GoDaddy haya tenido problemas de seguridad anteriores causados ​​por errores de los trabajadores plantea la pregunta de qué causó este incidente.

Matt Walmsley, director de EMEA en Vectra "No está claro si el incidente reportado por GoDaddy se debió a la reutilización de credenciales previamente robadas o por ataques de fuerza bruta. También ha habido informes recientes de que los empleados de soporte de GoDaddy han sido phishing con éxito, lo que podría estar conectado", dijo.

Fuente: SCMagazine

Suscríbete a nuestro Boletín