Los clientes de alojamiento de WordPress administrado por GoDaddy sufrieron una violación de datos. Se han restablecido las contraseñas, pero los efectos aún pueden persistir
Más de un millón de clientes de hosting de GoDaddy sufrieron una filtración de datos en septiembre de 2021 que pasó desapercibida durante dos meses. GoDaddy describió el evento de seguridad como una vulnerabilidad. Los investigadores de seguridad indican que la causa de la vulnerabilidad se debió a una seguridad inadecuada que no cumplió con las mejores prácticas de la industria.
El comunicado de GoDaddy anunció que han cambiado las contraseñas de los clientes afectados de su alojamiento administrado de WordPress.
Sin embargo, el simple hecho de cambiar las contraseñas no soluciona por completo los posibles problemas dejados por los piratas informáticos, lo que significa que hasta 1,2 millones de clientes de hosting de GoDaddy pueden seguir afectados por problemas de seguridad.
GoDaddy informa a la SEC del incumplimiento
El 22 de noviembre de 2021, GoDaddy informó a la Comisión de Bolsa y Seguridad de los Estados Unidos (SEC) que habían descubierto «acceso de terceros no autorizado» a su «entorno de alojamiento de WordPress administrado».
La investigación de GoDaddy reveló que la intrusión comenzó el 6 de septiembre de 2021 y solo se descubrió el 17 de noviembre, dos meses después.
Quién está afectado y cómo
La declaración de GoDaddy dice que hasta 1,2 millones de clientes de su entorno de alojamiento administrado de WordPress pueden verse afectados por la brecha de seguridad.
Según la declaración a la SEC, la violación de datos se debió a una contraseña comprometida en su sistema de aprovisionamiento.
Un sistema de aprovisionamiento es el proceso para configurar clientes con sus nuevos servicios de alojamiento, asignándoles espacio en el servidor, nombres de usuario y contraseñas.
GoDaddy explicó lo que sucedió:
“Using a compromised password, an unauthorized third party accessed the provisioning system in our legacy code base for Managed WordPress.”
«Usando una contraseña comprometida, un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredada para Managed WordPress».
Datos de clientes de GoDaddy expuestos:
- Correos electrónicos
- Números de clientes
- Contraseñas originales de nivel de administrador de WordPress
- Nombres de usuario y contraseñas de FTP seguro (SFTP)
- Nombres de usuario y contraseñas de la base de datos
- Claves privadas SSL
¿Qué causó la brecha de seguridad de GoDaddy?
GoDaddy describió la causa de la intrusión como una vulnerabilidad. Una vulnerabilidad generalmente se considera una debilidad o falla en la codificación del software, pero también puede surgir de un lapso en las buenas medidas de seguridad.
Los investigadores de seguridad de Wordfence hicieron el sorprendente descubrimiento de que el alojamiento administrado de WordPress de GoDaddy almacenaba nombres de usuario y contraseñas sFTP de una manera que no se ajustaba a las mejores prácticas de la industria.
SFTP significa Protocolo seguro de transferencia de archivos. Es un protocolo de transferencia de archivos que permite cargar y descargar archivos desde un servidor de alojamiento mediante una conexión segura.
Según los expertos en seguridad de Wordfence, los nombres de usuario y las contraseñas se almacenaron en forma de texto sin formato sin cifrar, lo que permitió a un hacker obtener libremente nombres de usuario y contraseñas.
Wordfence explicó el fallo de seguridad que descubrieron:
“GoDaddy stored sFTP passwords in such a way that the plaintext versions of the passwords could be retrieved, rather than storing salted hashes of these passwords, or providing public key authentication, which are both industry best practices.
…Storing plaintext passwords, or passwords in a reversible format for what is essentially an SSH connection is not a best practice.”
“GoDaddy almacenó las contraseñas sFTP de tal manera que se pudieran recuperar las versiones de texto sin formato de las contraseñas, en lugar de almacenar hashes salados de estas contraseñas o proporcionar autenticación de clave pública, que son las mejores prácticas de la industria.
…Almacenar contraseñas de texto sin formato o contraseñas en un formato reversible para lo que es esencialmente una conexión SSH no es una buena práctica”.
Los problemas de seguridad de GoDaddy pueden seguir en curso
La declaración de GoDaddy a la SEC indicó que la exposición de los correos electrónicos de los clientes podría provocar ataques de phishing.. También comunicaron que se restablecieron todas las contraseñas de los clientes afectados, lo que parece cerrar la puerta a la brecha de seguridad, pero ese no es del todo el caso.
Sin embargo, habían transcurrido más de dos meses completos cuando GoDaddy descubrió la falla de seguridad y la intrusión, lo que significa que los sitios web alojados en GoDaddy aún podrían estar en un estado comprometido si los archivos maliciosos no se han eliminado.
No basta con cambiar las contraseñas de los sitios web afectados, se debería haber realizado un análisis de seguridad completo para asegurarse de que los sitios web afectados estén libres de puertas traseras, troyanos y archivos maliciosos.
La declaración oficial de GoDaddy no ha dicho nada sobre mitigar los efectos de los sitios web ya comprometidos.
Los investigadores de seguridad de Wordfence reconocieron esta deficiencia:
“…the attacker had nearly a month and a half of access during which they could have taken over these sites by uploading malware or adding a malicious administrative user. Doing so would allow the attacker to maintain persistence and retain control of the sites even after the passwords were changed.”
“…el atacante tuvo casi un mes y medio de acceso durante el cual podría haberse apoderado de estos sitios cargando malware o agregando un usuario administrativo malicioso. Si lo hace, permitiría al atacante mantener la persistencia y mantener el control de los sitios incluso después de que se cambiaron las contraseñas”.
Wordfence también afirma que el daño no se limita a las empresas alojadas en el alojamiento administrado de WordPress.. Los investigadores de seguridad observaron que el acceso de piratas informáticos a las bases de datos del sitio web podría conducir al acceso a la información del cliente del sitio web, revelando información confidencial del cliente almacenada en sitios web de comercio electrónico.
Los efectos de la violación de datos de GoDaddy pueden continuar
GoDaddy solo anunció que han restablecido contraseñas. Sin embargo, no se dijo nada sobre la identificación y reparación de bases de datos comprometidas, la eliminación de cuentas de administrador maliciosas y la búsqueda de scripts maliciosos que se han cargado, sin mencionar posibles violaciones de datos de información confidencial de clientes de sitios de comercio electrónico alojados en GoDaddy.
Citación
GoDaddy anuncia un incidente de seguridad que afecta el servicio administrado de WordPress GoDaddy Announces Security Incident Affecting Managed WordPress Service
Lea el informe de seguridad de Wordfence
GoDaddy violado: contraseñas de texto sin formato: 1,2 millones afectados GoDaddy Breached – Plaintext Passwords – 1.2M Affected
Leer el articulo original en Search Engine Journal.
