Angara MSS | Потоп данных

Потоп данных

22 ноября в документах на сайте Комиссии по ценным бумагам и биржам США появилось сообщение с подробностями об инциденте ИБ в компании GoDaddy (регистратор доменов и хостинг-провайдер), который привел к утечке данных более миллиона клиентов среды WordPress. Сотрудники отдела защиты информации обнаружили проблему только 17 ноября, а некоторые сторонние наблюдатели уже отмечали, что с 4 ноября в даркнете стали появляться сообщения о продаже данных клиентов компании.

Как пояснил директор по информационной безопасности компании Деметриус Кам, несанкционированный доступ к среде управляемого хостинга WordPress (MWP) был доступен неавторизованной третьей стороне с 6 сентября 2021 года. Для этого злоумышленник использовал скомпрометированную учетную запись от системы настройки клиентов, с помощью которой им назначаются серверное пространство и учетные записи. Как именно преступники получили доступ к учетным данным для доступа к системе и был ли скомпрометированный пароль защищен 2FA не уточняется, но можно предположить, что серьезный подход к парольной политике мог бы предотвратить инцидент огромного масштаба.

Как сообщают специалисты компании, хакеры более двух месяцев имели полный доступ к:

– 1,2 млн аккаунтов клиентов WordPress (их адресам электронной почты и идентификаторам);

– исходному паролю администратора WordPress, который использовался для доступа к клиентскому серверу WordPress;

– учетным данным соединения sFTP (для безопасного обмена файлами) и собственных баз данных клиентов WordPress, в которых хранится пользовательский контент;

– закрытому ключу SSL клиента (для организации защищенного соединения HTTPS между веб-сайтом и пользователем).

В настоящее время GoDaddy предупредил всех пострадавших клиентов, сбросил их пароли и занимается обновлением SSL-сертификатов. В компании продолжают расследование инцидента ИБ и оценивают его последствия.

Исследователи в области кибербезопасности команды Wordfence в своем анализе произошедшей утечки считают, что потенциальный риск фишинга, связанный с раскрытыми адресами электронной почты, минимален по сравнению с потенциальными последствиями компрометации паролей sFTP и баз данных. Они отмечают, что доступ к базам данных веб-сайтов может раскрыть конфиденциальную информацию о клиентах веб-сайтов электронной коммерции. Кроме того, за то время, пока злоумышленник оставался в тени, он мог захватить эти сайты, загрузив вредоносное ПО или добавив нового пользователя с правами администратора. Это в свою очередь позволит злоумышленнику сохранить контроль над ними даже после изменения паролей.

Эксперты также раскрыли причину утечки паролей: GoDaddy хранил пароли sFTP таким образом, чтобы можно было получить их версии в открытом виде, что не соответствует передовой отраслевой практике.

«Уинстон Черчилль говорил: «За безопасность необходимо платить, а за её отсутствие – расплачиваться». Ни для кого не секрет, что для любого бизнеса важно не только привлечь новых клиентов и удержать действующих партнеров, но и обеспечить безопасность своего предприятия, таким образом сохранив и приумножив заработанные активы. GoDaddy еще предстоит оправиться от такого репутационного удара, однако это совершенно незначительная проблема для их текущих клиентов, учитывая потенциальные последствия от утечки паролей sFTP и баз данных сайтов клиентов WordPress», – комментирует Александр Гаврилов, главный инженер ИЦ Angara Professional Assistance.