Крупнейший мировой регистратор доменов сбросил пароли своих пользователей

Крупнейший в мире доменный регистратор GoDaddy сообщил о компрометации некоторой части хостинговых аккаунтов своих клиентов. Что именно произошло, не ясно, но, судя по содержанию письма, разосланного клиентам, GoDaddy берет ответственность на себя. Определенной части клиентов пришлось поменять пароли.

Мы сменили вам пароль

GoDaddy, крупнейший в мире регистратор доменов, обслуживающий примерно 19 млн клиентов по всему миру, подвергся кибератаке: злоумышленники скомпрометировали ряд хостинговых аккаунтов, используя украденные логины и пароли.

Сам инцидент произошел в конце октября 2019 г., но только сейчас GoDaddy опубликовал результаты расследования и разослал пострадавшим клиентам уведомления о случившемся.

Компания указывает, что нет никаких признаков того, что злоумышленники добавляли или изменяли какие бы то ни было файлы на хостинговых ресурсах, к которым получили доступ.

"Недавно мы обнаружили подозрительную активность на определенном подмножестве наших серверов и немедленно принялись за расследование. Выяснилось, что неавторизованный индивидуум получил доступ к вашим реквизитам доступа, используемым для SSH-соединения с вашим хостинговым аккаунтом. У нас нет никаких свидетельств, указывающих на изменение или добавление файлов на вашем аккаунте. Неавторизованному индивидууму заблокирован всякий доступ к нашим системам и мы продолжаем расследовать, был ли нанесен ущерб нашим системам", - говорится в письме, разосланном клиентам GoDaddy.

Тем не менее, логины и пароли пользователей были принудительно сброшены в профилактических целях. Пользователям также рекомендовано произвести аудит своих аккаунтов, чтобы удостовериться в отсутствии проблем.

Приносим извинения за доставленные неудобства

Кроме того, GoDaddy предоставляет пострадавшим клиентам возможность целый год бесплатно использовать средства защиты - Website Security Deluxe и Express Malware Removal.

"Вместе с извинениями за случившееся это выглядит как практически прямое признание GoDaddy своей ответственности за инцидент, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Информации очень мало, но, по-видимому, речь идет о какой-то утечке реквизитов доступа, случившейся задолго до инцидента, и не по вине пользователей. Наиболее вероятный сценарий - выгрузка определенного количества логинов и паролей в незащищенную и общедоступную базу данных. Если бы речь шла об уязвимости в системах GoDaddy, скорее всего, компрометация имела бы очень обширные масштабы. Хотя в данном случае точное количество пострадавших остается неизвестным".

Это уже не первый инцидент с безопасностью GoDaddy. В 2019 г. злоумышленникам удалось скомпрометировать сотни клиентских аккаунтов GoDaddy (не хостинговых); с их помощью были созданы 15 тыс. субдоменов, часть из которых использовалась мошенниками для имитации легитимных и популярных веб-сайтов. Пользователей с этих субдоменов перенаправляли на ресурсы, на которых продавались всякие сомнительные продукты.

Также в 2019 г. американские клиенты GoDaddy обнаружили, что в их сайты без их ведома встраивался JavaScript, использовавшийся для анализа времени установления соединений и загрузки страниц. Этот скрипт мог оказывать негативное воздействие на производительность ресурса вплоть до вывода его из строя. От внедрения этого скрипта можно было отказаться, но для этого сначала нужно было узнать о его существовании.