L'ANALISI TECNICA

Data breach GoDaddy, violati migliaia di account di web hosting: che c’è da sapere

GoDaddy, uno dei principali registrar di nomi di dominio nonché fornitore di piattaforme cloud e di web hosting, ha segnalato una violazione di dati avvenuta tramite un accesso SSH non autorizzato agli account hosting di 28.000 clienti. Ecco tutti i dettagli

07 Mag 2020
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

Martedì 5 maggio GoDaddy ha comunicato di essere rimasta vittima di un data breach che ha compromesso le credenziali di accesso degli account di circa 28.000 clienti. La notifica della violazione (Breach Notification) a firma del CISO e VP di GoDaddy Demetrius Comes è stata fatta all’ufficio del Procuratore Generale della California.

La società ha rivelato che l’attività sospetta si è verificata su alcuni dei suoi server il 19 ottobre 2019, ma la scoperta è avvenuta il 23 aprile 2020 quando GoDaddy ha rilevato che un individuo non autorizzato aveva ottenuto l’accesso alle credenziali di accesso (username e password) di circa 28.000 clienti che utilizzano il protocollo crittografico SSH (Secure SHell) per connettersi ai loro account di web hosting.

In una nota ufficiale, GoDaddy ha dichiarato che solo i nomi utente e le password utilizzate per accedere ai server ospitati in remoto sono stati compromessi e che “l’attore della minaccia non aveva accesso ai principali account GoDaddy dei clienti“. Ha aggiunto, inoltre, di avere immediatamente reimpostato i nomi utente e le password e che al momento non c’è alcuna evidenza in merito alla possibilità che l’intruso abbia utilizzato le credenziali dei clienti o che abbia modificato i loro account di hosting.

Inoltre, si è resa disponibile a fornire gratuitamente ai clienti coinvolti un abbonamento annuale al suo servizio di sicurezza del sito web e di rimozione del malware.

Cosa potrebbe essere accaduto

GoDaddy non ha rivelato l’esatta causa della violazione dei dati, ma è interessante quanto segnalato il 31 marzo scorso dal noto sito KrebsOnSecurity: un rappresentante del servizio clienti di GoDaddy è stato vittima di un attacco di social engineering, realizzato con un’e-mail di spear phishing.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

L’azione ha permesso all’attaccante di visualizzare e accedere ai record di alcuni clienti. L’accesso è stato utilizzato per modificare le impostazioni del dominio per una mezza dozzina di clienti GoDaddy, compreso il sito di intermediazione delle transazioni escrow.com. Durante l’incidente, per poche ore, gli hacker hanno modificato (“hijacked”) i record DNS di Escrow.com per reindirizzare gli utenti su un sito web diverso (puntavano a un indirizzo Internet in Malesia: 111.90.149[.]49).

Matt Barrie, CEO di Freelancer.com, l’azienda che controlla escrow.com ha dichiarato che nessun sistema di Escrow.com è stato compromesso e che non sono stati violati i dati dei clienti.

Non è neppure chiaro se l’incidente denunciato da GoDaddy sia stato causato dal riutilizzo di credenziali precedentemente rubate (se ne trovano a miliardi nel Dark Web, venduta a pochi dollari) o da attacchi di tipo brute force (meno probabile).

Anche sulla base della segnalazione di KrebsOnSecurity, si può ritenere che comunque l’attacco sia stato reso possibile – come quasi sempre – da un errore umano, che ha permesso l’intrusione nei server dell’azienda e il furto di dati.

In ogni caso, qualsiasi accesso non autorizzato tramite gli account SSH non sarebbe potuto avvenire se GoDaddy avesse utilizzato l’autenticazione a due fattori (MFA) o la gestione degli accessi privilegiati (PAM) per gli account di accesso remoto.

Per questo – e questa vicenda ce lo insegna per l’ennesima volta – è importante mettere in pratica misure di “hardening” dei sistemi, sia da parte di GoDaddy che dei suoi clienti. Misure che sono, per esempio:

  • utilizzare l’autenticazione a due fattori, sia per SSH che per l’accesso al backend dei siti;
  • password management: utilizzare password forti ed univoche e gestirle con password manager;
  • rafforzare la sicurezza degli account dei domini esistenti con le società di registrazione, attivando sistemi di notifica sicuri quando e se un dominio sta per scadere (questo per evitare attacchi di phishing, molto usati in queste circostanze);
  • utilizzare le funzioni di registrazione come Registry (o Registrar) Lock che possono aiutare a proteggere i record dei nomi di dominio dalla modifica (Domain Hijacking). Questa misura può impedire il trasferimento fraudolento di un dominio da un registrar ad un altro, con la perdita del dominio da parte del legittimo proprietario;
  • implementare il protocollo DNSSEC (Domain Name System Security Extensions) per evitare gli attacchi di “cache poisoning” che mirano ad alterare il contenuto della cache dei server DNS. Con DNSSEC viene certificato in maniera inoppugnabile che il sito web che si sta visitando è proprio quello che dichiara di essere. Non tutti i TLD (Top Level Domain) supportano DNSSEC, ma – ove disponibile – questa è un’opzione migliore dei soli certificati SSL (quelli che hanno i siti HTTPS) perché non è raro vedere certificati falsi.

Cos’è SSH e a cosa serve

SSH è l’acronimo di Secure SHell (ovvero shell sicura). Si tratta di un protocollo che permette di stabilire una connessione client-server cifrata (quindi sicura) con un host remoto attraverso un canale aperto e insicuro come, per esempio, la rete internet. In pratica la shell, in quanto interprete dei comandi, permette di inviare comandi in remoto da un sistema ad un altro e di operare su più sistemi contemporaneamente da un unico terminale in modo sicuro.

SSH è stato creato da Tatu Ylonen e rilasciato nella versione SSH 1.0 nel 1995. Opera sulla porta standard 22, assegnata allora da IANA (Internet Assigned Numbers Authority), essendo le porte 21 e 23 già dedicate rispettivamente a FTP e telnet.

Oggi SSH è diventato uno standard utilizzato su praticamente tutti i sistemi operativi UNIX, Linux, macOS e Microsoft Windows, soppiantando l’ormai desueto e insicuro “telnet”. E come telnet ha un interfaccia a riga di comando.

Come detto, SSH è cifrato: usa la crittografia asimmetrica con l’algoritmo di scambio delle chiavi Diffie-Hellman che serve per l’autenticazione a chiave pubblica. Una volta eseguito lo scambio delle chiavi, la comunicazione cifrata tra client e server utilizza algoritmi di crittografia simmetrica (computazionalmente meno onerosi di quelli asimmetrici).

Quindi SSH offre un modo sicuro – se configurato correttamente – per lavorare con sistemi remoti e trasferire file in rete.

In una società come GoDaddy, SSH viene utilizzato dai clienti per connettersi ai loro account di hosting per caricare o spostare file ed eseguire comandi.

Con queste premesse, possiamo supporre che l’incidente accaduto a GoDaddy non sia imputabile a vulnerabilità del protocollo SSH.

Quali potrebbero essere i rischi per i clienti GoDaddy

Le credenziali del database compromesse potrebbero essere utilizzate per ottenere il controllo di un sito, se le connessioni remote del database sono abilitate, cosa che GoDaddy permette su molti dei suoi account di hosting. Potrebbe essere accaduto, fino alla scoperta del data breach, ma GoDaddy ha forzato la modifica delle credenziali violate, per cui questo rischio è ora superato.

Non è noto – e probabilmente non lo sarà mai – quali e quanti altri dati sia riuscito ad esfiltrare l’attaccante nel tempo in cui ha avuto accesso agli account violati e se questi dati sono finiti nel mercato nero del Dark Web.

Di una cosa possiamo essere ragionevolmente certi: questo genere di violazioni, ancorché non riescano a causare danni maggiori, possono essere utilizzate per campagne di spear phishing, mirato in questo caso ai clienti di GoDaddy.

Il phishing è un attacco in cui un aggressore crea un’e-mail che sembra provenire da una fonte legittima, ma che ha lo scopo di ottenere informazioni sensibili da un utente ignaro. Anche se solo 28.000 account di hosting sembrano essere stati colpiti, sono milioni (oltre 78 milioni, come dichiarato dall’azienda) i siti ospitati da GoDaddy.

Ciò significa che ci sono milioni di clienti che potrebbero ricevere un’e-mail con una notifica di violazione del loro account di hosting. E questa e-mail potrebbe essere costruita appositamente per risultare inviata da GoDaddy.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr