Hôm thứ Hai, gã khổng lồ lưu trữ web GoDaddy đã tiết lộ một vi phạm dữ liệu dẫn đến việc truy cập trái phép dữ liệu của tổng số 1,2 triệu khách hàng đang hoạt động và không hoạt động, khiến đây là sự cố bảo mật thứ ba được đưa ra ánh sáng kể từ năm 2018.
Trong một đơn gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), công ty đăng ký tên miền lớn nhất thế giới cho biết rằng một bên thứ ba độc hại đã cố gắng giành quyền truy cập vào môi trường lưu trữ Managed WordPress của họ vào ngày 6 tháng 9 với sự trợ giúp của một mật khẩu bị xâm phạm, sử dụng nó để có được thông tin nhạy cảm liên quan đến khách hàng của mình. Không rõ ngay lập tức liệu mật khẩu bị xâm nhập có được bảo mật bằng xác thực hai yếu tố hay không.
Công ty có trụ sở tại Arizona này tuyên bố có hơn 20 triệu khách hàng, với hơn 82 triệu tên miền được đăng ký sử dụng dịch vụ của mình.
GoDaddy tiết lộ họ đã phát hiện ra vụ đột nhập vào ngày 17 tháng 11. Một cuộc điều tra về vụ việc đang diễn ra và công ty cho biết họ “liên hệ trực tiếp với tất cả các khách hàng bị ảnh hưởng để cung cấp thông tin chi tiết cụ thể.” Thông tin sau đây được cho là đã bị kẻ xâm nhập truy cập –
Địa chỉ email và số lượng khách hàng lên đến 1,2 triệu khách hàng được quản lý WordPress đang hoạt động và không hoạt động Mật khẩu quản trị viên WordPress ban đầu được đặt tại thời điểm cấp phép đã bị lộ sFTP, tên người dùng và mật khẩu cơ sở dữ liệu được liên kết với khách hàng đang hoạt động và khóa riêng SSL cho một tập hợp con khách hàng tích cực
GoDaddy cho biết họ đang trong quá trình phát hành và cài đặt chứng chỉ mới cho những khách hàng bị ảnh hưởng. Như một biện pháp phòng ngừa, công ty cũng cho biết họ đã đặt lại các mật khẩu bị ảnh hưởng và họ đang củng cố hệ thống cung cấp của mình với các biện pháp bảo mật bổ sung.
Theo Mark Maunder, Giám đốc điều hành Wordfence, “GoDaddy đã lưu trữ mật khẩu sFTP theo cách mà các phiên bản bản rõ của mật khẩu có thể được truy xuất, thay vì lưu trữ các hàm băm nhỏ của những mật khẩu này hoặc cung cấp xác thực khóa công khai, cả hai đều là những phương pháp hay nhất trong ngành.”
Trong khi việc vi phạm dữ liệu không còn xảy ra lẻ tẻ, việc lộ địa chỉ email và mật khẩu có nguy cơ bị tấn công lừa đảo, chưa kể đến việc những kẻ tấn công có thể xâm nhập vào các trang WordPress dễ bị tấn công để tải lên phần mềm độc hại và truy cập thông tin nhận dạng cá nhân khác được lưu trữ trong đó.
“Trên các trang web nơi khóa cá nhân SSL bị lộ, kẻ tấn công có thể giải mã lưu lượng truy cập bằng khóa cá nhân SSL bị đánh cắp, miễn là chúng có thể thực hiện thành công cuộc tấn công man-in-the-middle (MITM) chặn lưu lượng truy cập được mã hóa giữa một khách truy cập trang web và một trang web bị ảnh hưởng, “Maunder nói.
Cập nhật
Một vi phạm dữ liệu tại công ty lưu trữ web GoDaddy có thể xảy ra sâu hơn mức công ty đã chuẩn bị thừa nhận cho đến nay, vì nhiều công ty con của các dịch vụ Managed WordPress của công ty, bao gồm 123Reg, Domain Factory, Heart Internet, Host Europe, Media Temple và tsoHost, đã được tìm thấy bị ảnh hưởng.
GoDaddy nói với Wordfence rằng “một số lượng nhỏ người dùng Managed WordPress đang hoạt động và không hoạt động tại các thương hiệu đó đã bị ảnh hưởng”, mặc dù không rõ chính xác có bao nhiêu người dùng bổ sung có thể đã bị lộ các chi tiết nhạy cảm sau sự cố bảo mật.
.