GoDaddy, uno de los registradores de dominios más grandes del mundo y una empresa de alojamiento web que brinda servicios a aproximadamente 19 millones de clientes en todo el mundo, ha confirmado una violación de datos.
Según un informe de BleepingComputer , GoDaddy notificó a algunos de sus clientes que una parte no autorizada utilizó sus credenciales de cuenta de alojamiento web para conectarse a su cuenta de alojamiento a través de SSH.
GoDaddy afirma que la violación tuvo lugar el 19 de octubre de 2019 y se descubrió el 23 de abril de 2020, después de que el equipo de seguridad de la compañía descubrió un archivo SSH alterado en el entorno de alojamiento de GoDaddy y actividad sospechosa en un subconjunto de servidores de GoDaddy.
El vicepresidente de comunicaciones corporativas de GoDaddy más tarde le dijo a BleepingComputer en una declaración oficial que aproximadamente 28,000 cuentas de alojamiento de clientes se vieron afectadas en el incidente: «El 23 de abril de 2020, identificamos que los nombres de usuario y las contraseñas SSH habían sido comprometidos a través de un archivo SSH alterado en nuestro alojamiento entorno.
Esto afectó aproximadamente a 28,000 clientes. Inmediatamente restablecimos estos nombres de usuario y contraseñas, eliminamos el archivo SSH ofensivo de nuestra plataforma y no tenemos ninguna indicación de que el actor de la amenaza haya utilizado las credenciales de nuestros clientes o haya modificado las cuentas de alojamiento de los clientes. Para ser claros, la amenaza el actor no tenía acceso a las principales cuentas de GoDaddy de los clientes «.
En una carta de notificación , GoDaddy dice que la investigación descubrió que una persona autorizada tenía acceso a la información de inicio de sesión utilizada para conectarse a SSH a cuentas de hosting.
«Este incidente tiene un alcance limitado para su cuenta de alojamiento», dijo GoDaddy a sus clientes. «Su principal cuenta de cliente GoDaddy.com, y la información almacenada dentro de su cuenta de cliente, no fue accesible por este actor de amenazas».
Matt Walmsley, director de EMEA en Vectra , dice: «No está claro si el incidente informado de GoDaddy se debió a la reutilización de credenciales previamente robadas o de ataques de fuerza bruta.
También ha habido informes recientes de que los empleados de soporte de GoDaddy han sido phishing con éxito, lo que podría estar conectado.
Independientemente de cómo se obtuvo el acceso no autorizado, es un claro recordatorio de que el monitoreo de cómo se usan las credenciales privilegiadas, no solo otorgadas, puede marcar la diferencia entre detectar un ataque activo y ser felizmente ignorante de una violación «.
NotiVeraz