Хакери зламали GoDaddy і отримали доступ до даних WordPress
Компанія GoDaddy повідомила, що майже рік тому невідомі зловмисники отримали несанкціонований доступ до системи, що використовується для забезпечення роботи сайтів WordPress, і заволодів інформацією 1,2 млн. акаунтів користувачів. Зловмисники отримали доступ до адрес електронної пошти, номерів, паролів адміністратора для сайтів WordPress, розміщених на платформі, а також паролів для sFTP, баз даних та закритих ключів SSL.
До чого зловмисники мали доступ?
Згідно зі звітом, поданим GoDaddy до SEC, зловмисник спочатку отримав доступ до системи за допомогою скомпрометованого пароля 6 вересня 2021 року. А виявлено було лише 17 листопада 2021 року, після чого його доступ було анульовано. Хоча компанія вжила негайних заходів для зменшення збитків, у зловмисника було більше двох місяців, щоб використати отримані дані.
Весь цей час зловмисник мав доступ до адрес електронної пошти користувачів, номерів клієнтів, вихідного пароля адміністратора WordPress та закритих ключів SSL. Все це може бути корисним для зловмисника, але особливо виділяється один пункт: паролі активних клієнтів sFTP і баз даних.
Судячи з усього, сервіс GoDaddy зберігав паролі просто в текстовому файлі або форматі, який легко в нього перенести, замість того, щоб зберігати хеші цих паролів або забезпечувати аутентифікацію з відкритим ключем.
Варто також зазначити, що цифра в 1,2 млн не повністю відображає кількість веб-сайтів, порушених цим порушенням, оскільки йдеться саме про клієнтів GoDaddy, деякі з яких мають у своїх облікових записах кілька керованих сайтів.
Що робити власникам сайтів WordPress, керованих GoDaddy?
Як зазначає Wordfence, GoDaddy зв’яжеться з клієнтами, що постраждали, в найближчі кілька днів. Тим часом, враховуючи серйозність проблеми та дані, до яких зловмисник мав доступ, ми рекомендуємо всім користувачам Managed WordPress припустити, що вони були зламані, та виконати такі дії:
- Якщо ви керуєте сайтом електронної комерції або зберігаєте особисту інформацію клієнтів, і GoDaddy підтвердить, що ваші дані були скомпрометовані, ви, швидше за все, зобов’язані повідомити своїх клієнтів про це. Вивчіть нормативні вимоги, що діють у вашій юрисдикції, та переконайтеся, що ви їх дотримуєтеся.
- Змініть усі паролі WordPress і, якщо можливо, примусово скиньте пароль для користувачів та клієнтів. Оскільки зловмисник мав доступ до хеш паролів у кожній вразливій базі даних WordPress, він потенційно міг зламати та використовувати ці паролі.
- Змініть будь-які повторно використовувані паролі та порадьте зробити це своїм користувачам або клієнтам. Зловмисник потенційно може використовувати облікові дані, вилучені з уражених сайтів, для доступу до будь-яких інших служб, де використовувався той самий пароль. Наприклад, якщо один із ваших клієнтів використовує на вашому сайті ту саму адресу електронної пошти та пароль, що й для свого облікового запису Gmail, зловмисник може зламати Gmail.
- По можливості вмикайте двофакторну автентифікацію. Є плагіни, які забезпечують цю можливість безкоштовно для WordPress.
- Перевірте свій сайт на наявність неавторизованих облікових записів адміністраторів.
- Проскануйте свій сайт на наявність шкідливих програм.
- Перевірте файлову систему вашого сайту, в тому числі wp-content/plugins і wp-content/mu-plugins, на предмет будь-яких несподіваних модулів або модулів, які не відображаються в меню, оскільки можна використовувати законні модулі для забезпечення несанкціонованого доступу.
- Звертайте увагу на підозрілі електронні листи – фішинг, як і раніше, є ризиком, і зловмисник може використовувати витягнуті електронні листи та номери клієнтів для отримання додаткової конфіденційної інформації від жертв цього злому.