Il 4 maggio 2020, GoDaddy, uno dei maggiori provider di hosting di siti Web al mondo, ha rivelato che le credenziali SSH di circa 28.000 account di hosting GoDaddy sono state compromesse da un utente non autorizzato, è quanto è stato annunciato dal team di Wordfence.
SSH, sebbene estremamente sicuro se configurato correttamente, può consentire accessi con una combinazione nome utente / password o un nome utente e una coppia di chiavi pubblica / privata. Nel caso di questa violazione, sembra probabile che un utente malintenzionato abbia posizionato la propria chiave pubblica sugli account interessati in modo da poter mantenere l’accesso anche se la password dell’account fosse cambiata.
Non è chiaro quale dei pacchetti di hosting di GoDaddy sia stato interessato da questa violazione.
GoDaddy ha dichiarato pubblicamente: “Il 23 aprile 2020, abbiamo identificato nomi utente e password SSH compromessi da una persona non autorizzata nel nostro ambiente di hosting. Ciò ha interessato circa 28.000 clienti. Abbiamo immediatamente ripristinato questi nomi utente e password, rimosso un file SSH autorizzato dalla nostra piattaforma e non abbiamo alcuna indicazione che la persona abbia utilizzato le credenziali dei nostri clienti o modificato gli account di hosting dei clienti. L’individuo non aveva accesso ai principali account GoDaddy dei clienti “. La violazione stessa sembra essersi verificata il 19 ottobre 2019.
Cosa c’è da fare?
Azione immediata. Se sei stato colpito da questa violazione e non sei già stato informato da GoDaddy, probabilmente riceverai una notifica nel prossimo futuro. GoDaddy indica di aver aggiornato le password dell’account e di aver rimosso la chiave pubblica dell’attaccante. Sebbene ciò dovrebbe impedire all’autore dell’attacco di accedere ai siti interessati tramite SSH, consigliamo vivamente di modificare la password del database del tuo sito, poiché ciò potrebbe essere stato facilmente compromesso da un utente malintenzionato senza modificare l’account. Le credenziali di database compromesse potrebbero essere utilizzate per ottenere il controllo di un sito WordPress se le connessioni al database remoto sono abilitate, cosa che GoDaddy consente su molti dei suoi account di hosting. Potresti anche voler controllare il tuo sito per utenti amministrativi non autorizzati, in quanto questi potrebbero essere stati creati senza modificare alcun file sul sito.
Violazioni del genere possono creare un obiettivo primario per gli aggressori che utilizzano campagne di phishing come mezzo per infettare utenti.
Il phishing, per definizione generale, è un attacco in base al quale un utente malintenzionato creerà un’e-mail che sembra provenire da una fonte legittima, ma ha lo scopo di ottenere informazioni sensibili da un utente ignaro. Anche se solo 28.000 account di hosting sembrano essere stati interessati, si stima che milioni di siti siano ospitati da GoDaddy. Ciò significa che ci sono milioni di utenti là fuori che potrebbero essere preoccupati di ricevere una notifica che il loro account di hosting è stato violato.
Pertanto, la probabilità di una campagna di phishing destinata agli utenti di GoDaddy è elevata. Raccomandiamo che in queste condizioni, i clienti GoDaddy facciano attenzione quando fanno clic sui collegamenti o eseguono qualsiasi azione in un’e-mail per assicurarsi che non finiscano come vittime di un attacco di phishing.
Ci sono alcune cose chiave che puoi controllare per vedere se sei il bersaglio di un attacco di phishing:
1. Controlla l’intestazione dell’email. Se l’origine dell’email non proviene da un dominio GoDaddy registrato, molto probabilmente non proviene da GoDaddy ed è un tentativo di phishing. 2. Cerca una grande quantità di errori di battitura o errori di ortografia nel contenuto stesso dell’email. Questo può indicare la presenza di un attaccante. Le e-mail professionali conterranno errori di battitura o errori di ortografia minimi, se presenti. 3. Un lessico modificato utilizzato per spaventarti nel fornire informazioni personali. L’email di divulgazione degli incidenti di sicurezza di GoDaddy non dovrebbe spaventarti o chiederti di fornire alcuna informazione. Dovrebbe semplicemente informarti che potresti essere stato colpito da una violazione. Se ricevi un’email che sembra spaventarti nel fornire informazioni, potrebbe trattarsi di un tentativo di phishing.
Se non riesci a verificare l’origine di un’e-mail o la sua legittimità, è meglio andare direttamente al sito GoDaddy e contattarli tramite i loro canali di supporto standard. Ciò ti consentirà di verificare che il tuo account sia sicuro.