Изъян безопасности GoDaddy привёл к взлому более миллиона сайтов WordPress

Компьютерное Обозрение

Платформа WordPress составляет основу 42 процентов всех веб-сайтов. Поэтому любые неполадки с её безопасностью автоматически приобретают ранг глобальной проблемы. Именно таким критичным происшествием стала компрометация данных владельцев сайтов на WP, пользовавшихся услугами международного хостинг-провайдера GoDaddy.

Эта компания обеспечивает оптимизированный хостинг для создания и эксплуатации сайтов WordPress. GoDaddy берет на себя все основные административные функции хостинга, включая установку WordPress, автоматическое ежедневное резервное копирование, обновление ядра WordPress и кэширование на уровне сервера. Стоимость подписки на такие услуги начинается с $6,99 в месяц.

В документе, предоставленном Комиссии по ценным бумагам и биржам (SEC), директор GoDaddy по информационной безопасности (CISO) Деметриус Комес (Demetrius Comes) сообщил, что компания обнаружила несанкционированный доступ к управляемым ею серверам WordPress. С 6 сентября 2021 года в результате взлома была открыта информация о 1,2 млн активных и неактивных управляемых клиентов WordPress.

Ставшие достоянием взломщиков адреса электронной почты и номера клиентов подвергают пользователей повышенному риску фишинговых атак. GoDaddy также предупредила клиентов, что оригинальный пароль администратора WordPress, созданный ими при первой установке WordPress, также больше не является секретом. Так что, если этот пароль никогда не менялся, хакеры могли иметь доступ к сайту на протяжении нескольких месяцев.

Поскольку у активных клиентов были дополнительно скомпрометированы логины/пароли sFTP и баз данных, GoDaddy обнулила эти идентификационные данные. Компания в настоящее время также переиздаёт и устанавливает новые сертификаты для пользователей, у которых были похищены приватные ключи Secure-Socket Layer (SSL).

Фирма WordFence, предоставляющая сервисы безопасности для WordPress, так прокомментировала случившееся: «Похоже, что GoDaddy хранила учётные данные sFTP как открытый текст, либо в формате, который можно было преобразовать в открытый текст. Они делали так, а не использовали подсоленный (со строкой случайных символов) хеш или открытый ключ, две отраслевые практики, считающиеся лучшими для sFTP. Это обеспечило атакующему прямой доступ к учётным данным пароля без необходимости их взлома».

GoDaddy объявила, что расследование инцидента всё ещё продолжается. Компания связывается со всеми затронутыми клиентами и сообщает им конкретные детали. Сами клиенты также могут связаться с GoDaddy через справочный центр, где размещены номера телефонов для пострадавших пользователей из различных стран.