Data breach GoDaddy, oltre un milione di password violate: il rischio è enorme - Cyber Security 360

L'ANALISI TECNICA

Data breach GoDaddy, oltre un milione di password violate: il rischio è enorme

Il gigante del web hosting GoDaddy ha confermato una violazione dei dati che ha colpito almeno 1,2 milioni di clienti esponendone i nomi utente e le password di accesso sFTP e ai database. Adesso è alto il rischio di attacchi phishing, man-in-the-middle e malware distribuiti dai siti compromessi. Ecco tutti i dettagli

23 Nov 2021
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Presentando un esposto al Securities and Exchange Commission (SEC) degli Stati Uniti nella mattinata del 22 novembre, GoDaddy denuncia l’ennesimo attacco informatico subito a cui è seguito un data breach che ha esposto un grande numero di propri clienti.

Data breach GoDaddy: cosa è successo

Basandoci su ciò che è stato depositato tramite i canali ufficiali dall’azienda, si apprende che un aggressore esterno ha avuto accesso non autorizzato ai server di gestione dell’infrastruttura (probabilmente a causa di una password compromessa) che si occupa dell’hosting di siti web WordPress.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity

Analizziamo qualche dettaglio per poter poi ragionare sull’accaduto.

GoDaddy ha scoperto il problema, tramite un traffico anomalo in quel settore (relativo all’hosting in ambiente WordPress) della propria infrastruttura, il 17 novembre ma dalle prime analisi effettuate dall’azienda risulta che gli aggressori avessero avuto il primo accesso non autorizzato addirittura il 6 settembre scorso.

Durante il periodo dal 6 settembre 2021 al 17 novembre 2021, i nomi utente e le password sFTP e dei database dei clienti attivi erano accessibili all’aggressore.

È in questo lasso di tempo, infatti, che gli aggressori sono riusciti a esfiltrare il grande numero di dati relativi a 1,2 milioni di clienti, finché il 17 novembre l’azienda è riuscita appunto a sospendere questa attività abusiva in corso.

Le indagini forensi delle autorità competenti sono ancora in fase istruttoria e l’azienda comunica che sta facendo di tutto per limitare i danni, revocando le password vittima di questo attacco al fine della loro rigenerazione, così come per gli accessi sFTP e DB.

Oltre a questi dati, gli operatori malevoli hanno avuto accesso, esfiltrandole, anche alle chiavi private SSL per i certificati che fanno funzionare i siti dei clienti sotto il protocollo HTTPS.

Un dettaglio importante del data breach GoDaddy

Abbiamo appreso quanto accaduto, adesso dobbiamo doverosamente riflettere sul come questo sia stato possibile.

C’è un dettaglio che va aggiunto all’elenco dei danni appena sopra riportato: le password che sono state rubate, relative al servizio di accesso sFTP, sono state memorizzate da GoDaddy come normale testo, in chiaro, oppure in un modo che ha comunque consentito una facile conversione in testo in chiaro.

Si può verificare empiricamente questa pratica aziendale fortemente sconsigliata, accedendo al pannello di controllo del servizio di hosting GoDaddy e notando che la propria password viene auto compilata nel campo specifico. Quando una password viene invece memorizzata come chiave pubblica o con una pratica di hashing, questo dettaglio non è possibile visualizzarlo, unicamente perché il provider non ha quel dettaglio, non lo conosce proprio.

Ricordiamo che memorizzare hash di queste password o fornire l’autenticazione con chiave pubblica, sono entrambe best practice del settore: la memorizzazione in chiaro di dati sensibili come le password è invece sempre fortemente sconsigliata.

Inoltre, la porta utilizzata per sFTP è la numero 22, questo significa che il servizio FTP (trasferimento di file) è assicurato dalla crittografia garantita da SSH. Lasciare dunque in chiaro una password di questo tipo, che non è altro che l’accesso SSH al sistema (lettura/scrittura del filesystem dell’intero sistema, per intenderci) è sicuramente qualcosa di veramente molto sbagliato e pericoloso.

Ragioniamo sull’impatto che produce l’attacco

Gli scenari che si possono configurare ora sono diversi, in ogni caso per ciascuno bisogna prestare massima attenzione (se interessati dall’incidente), perché hanno dei larghi margini di rischio.

GoDaddy ha assicurato di aver allertato subito tutti i clienti coinvolti, ha revocato le loro password di accesso che quindi adesso andranno rigenerate e ha inoltre revocato anche le chiavi private SSL che sono state rubate.

Tutto questo è un bene, ancor di più vista la tempestività di azione. Però gli aggressori hanno avuto circa 70 giorni di tempo per rubare informazioni e dati dai server, ma anche per caricare malware sui vari hosting, oppure creare accessi utente non autorizzati nei siti web ospitati.

Questo aprirebbe uno scenario di persistenza sull’attacco, nonostante la bonifica iniziale. Quello che consigliamo è dunque, se avete un sito WordPress ospitato su GoDaddy, di fare una ricognizione generale di tutti i punti critici del sito:

  1. verificare l’elenco degli utenti con privilegi di amministrazione;
  2. reimpostare le password degli utenti interni;
  3. abilitare subito l’autenticazione a due fattori (con impostazione predefinita per tutti gli utenti del vostro sito) se non già utilizzata.

Un altro scenario che si può configurare è che qualche sito WordPress ospitato su GoDaddy gestisse un negozio e-commerce (con WordPress ci sono molti plugin e temi in grado di farlo): in questo caso l’aggressore potrebbe aver esfiltrato anche dati sensibili relativi a pagamenti o carte di credito. In questo caso, questi clienti potrebbero trovarsi anch’essi obbligati ad avvisare i propri clienti a cascata, in merito all’incidente.

Le chiavi private SSL, se accompagnate a un attacco Man-in-the-middle, potrebbero essere utili a decrittografare il traffico proveniente da siti mirati e rubarne quindi i contenuti delle comunicazioni (password, numeri di carta di credito, dati personali che vengono eventualmente immessi dal cliente ecc.).

Non possiamo non ricordare di prestare, in questi casi, la massima attenzione al phishing, in arrivo nel futuro prossimo, in quanto con una mole di dati personali e di contatto come questa, gli attacchi di questo tipo inizieranno molto presto. Di conseguenza, è consigliabile controllare sempre molto attentamente i mittenti di eventuali e-mail e messaggi SMS ricevuti, soprattutto prima di decidere di cliccare o meno su un determinato link interno al messaggio.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4