Presentando un esposto al Securities and Exchange Commission (SEC) degli Stati Uniti nella mattinata del 22 novembre, GoDaddy denuncia l’ennesimo attacco informatico subito a cui è seguito un data breach che ha esposto un grande numero di propri clienti.
Indice degli argomenti
Data breach GoDaddy: cosa è successo
Basandoci su ciò che è stato depositato tramite i canali ufficiali dall’azienda, si apprende che un aggressore esterno ha avuto accesso non autorizzato ai server di gestione dell’infrastruttura (probabilmente a causa di una password compromessa) che si occupa dell’hosting di siti web WordPress.
Analizziamo qualche dettaglio per poter poi ragionare sull’accaduto.
GoDaddy ha scoperto il problema, tramite un traffico anomalo in quel settore (relativo all’hosting in ambiente WordPress) della propria infrastruttura, il 17 novembre ma dalle prime analisi effettuate dall’azienda risulta che gli aggressori avessero avuto il primo accesso non autorizzato addirittura il 6 settembre scorso.
Durante il periodo dal 6 settembre 2021 al 17 novembre 2021, i nomi utente e le password sFTP e dei database dei clienti attivi erano accessibili all’aggressore.
È in questo lasso di tempo, infatti, che gli aggressori sono riusciti a esfiltrare il grande numero di dati relativi a 1,2 milioni di clienti, finché il 17 novembre l’azienda è riuscita appunto a sospendere questa attività abusiva in corso.
Le indagini forensi delle autorità competenti sono ancora in fase istruttoria e l’azienda comunica che sta facendo di tutto per limitare i danni, revocando le password vittima di questo attacco al fine della loro rigenerazione, così come per gli accessi sFTP e DB.
Oltre a questi dati, gli operatori malevoli hanno avuto accesso, esfiltrandole, anche alle chiavi private SSL per i certificati che fanno funzionare i siti dei clienti sotto il protocollo HTTPS.
Un dettaglio importante del data breach GoDaddy
Abbiamo appreso quanto accaduto, adesso dobbiamo doverosamente riflettere sul come questo sia stato possibile.
C’è un dettaglio che va aggiunto all’elenco dei danni appena sopra riportato: le password che sono state rubate, relative al servizio di accesso sFTP, sono state memorizzate da GoDaddy come normale testo, in chiaro, oppure in un modo che ha comunque consentito una facile conversione in testo in chiaro.
Si può verificare empiricamente questa pratica aziendale fortemente sconsigliata, accedendo al pannello di controllo del servizio di hosting GoDaddy e notando che la propria password viene auto compilata nel campo specifico. Quando una password viene invece memorizzata come chiave pubblica o con una pratica di hashing, questo dettaglio non è possibile visualizzarlo, unicamente perché il provider non ha quel dettaglio, non lo conosce proprio.
Ricordiamo che memorizzare hash di queste password o fornire l’autenticazione con chiave pubblica, sono entrambe best practice del settore: la memorizzazione in chiaro di dati sensibili come le password è invece sempre fortemente sconsigliata.
Inoltre, la porta utilizzata per sFTP è la numero 22, questo significa che il servizio FTP (trasferimento di file) è assicurato dalla crittografia garantita da SSH. Lasciare dunque in chiaro una password di questo tipo, che non è altro che l’accesso SSH al sistema (lettura/scrittura del filesystem dell’intero sistema, per intenderci) è sicuramente qualcosa di veramente molto sbagliato e pericoloso.
Ragioniamo sull’impatto che produce l’attacco
Gli scenari che si possono configurare ora sono diversi, in ogni caso per ciascuno bisogna prestare massima attenzione (se interessati dall’incidente), perché hanno dei larghi margini di rischio.
GoDaddy ha assicurato di aver allertato subito tutti i clienti coinvolti, ha revocato le loro password di accesso che quindi adesso andranno rigenerate e ha inoltre revocato anche le chiavi private SSL che sono state rubate.
Tutto questo è un bene, ancor di più vista la tempestività di azione. Però gli aggressori hanno avuto circa 70 giorni di tempo per rubare informazioni e dati dai server, ma anche per caricare malware sui vari hosting, oppure creare accessi utente non autorizzati nei siti web ospitati.
Questo aprirebbe uno scenario di persistenza sull’attacco, nonostante la bonifica iniziale. Quello che consigliamo è dunque, se avete un sito WordPress ospitato su GoDaddy, di fare una ricognizione generale di tutti i punti critici del sito:
- verificare l’elenco degli utenti con privilegi di amministrazione;
- reimpostare le password degli utenti interni;
- abilitare subito l’autenticazione a due fattori (con impostazione predefinita per tutti gli utenti del vostro sito) se non già utilizzata.
Un altro scenario che si può configurare è che qualche sito WordPress ospitato su GoDaddy gestisse un negozio e-commerce (con WordPress ci sono molti plugin e temi in grado di farlo): in questo caso l’aggressore potrebbe aver esfiltrato anche dati sensibili relativi a pagamenti o carte di credito. In questo caso, questi clienti potrebbero trovarsi anch’essi obbligati ad avvisare i propri clienti a cascata, in merito all’incidente.
Le chiavi private SSL, se accompagnate a un attacco Man-in-the-middle, potrebbero essere utili a decrittografare il traffico proveniente da siti mirati e rubarne quindi i contenuti delle comunicazioni (password, numeri di carta di credito, dati personali che vengono eventualmente immessi dal cliente ecc.).
Non possiamo non ricordare di prestare, in questi casi, la massima attenzione al phishing, in arrivo nel futuro prossimo, in quanto con una mole di dati personali e di contatto come questa, gli attacchi di questo tipo inizieranno molto presto. Di conseguenza, è consigliabile controllare sempre molto attentamente i mittenti di eventuali e-mail e messaggi SMS ricevuti, soprattutto prima di decidere di cliccare o meno su un determinato link interno al messaggio.
Chi è GoDaddy?
L’azienda è situata a Tempe in Arizona e con i suoi 20 milioni di clienti attivi è sicuramente uno dei più grandi registrar di domini e hosting provider del mondo. Nelle ore successive all’uscita del comunicato e delle notizie che si sono susseguite rapidamente, le sue azioni sono scese di 3,15 dollari (il 4,42% del valore di riferimento).
GoDaddy, in passato, ha già avuto esperienza di incidenti di sicurezza informatica. Infatti questa non è la prima volta che l’azienda subisce una violazione di sicurezza. Nel 2018, a causa di un errore in Amazon Web Services (AWS), i dati interni di GoDaddy sono stati esposti. Nel 2020, 28.000 account di servizi di hosting sono stati compromessi da un altro incidente di sicurezza.
