La violación de datos de GoDaddy muestra por qué las empresas necesitan proteger mejor los datos de sus clientes


Una persona no autorizada pudo acceder a las credenciales de inicio de sesión de varias cuentas con la empresa de hosting.

El proveedor de alojamiento website y el registrador de dominios GoDaddy se vio afectado por una violación de datos que comprometió las credenciales de la cuenta de alrededor de 28,000 clientes. en un Notificación de incumplimiento enviada a la oficina del Fiscal Basic de California, la compañía reveló que la actividad sospechosa ocurrió en algunos de sus servidores el 19 de octubre de 2019. Después de una investigación, GoDaddy se enteró de que una persona no autorizada había obtenido acceso a las credenciales de inicio de sesión de los clientes que usan SSH ( Shell seguro) para conectarse a sus cuentas de alojamiento.

VER: Lista de verificación: evaluación de riesgos de seguridad (Descarga de TechRepublic Top quality)

La compañía proporcionó más detalles en la siguiente declaración compartida con TechRepublic:

«El 23 de abril de 2020, identificamos que los nombres de usuario y las contraseñas de SSH habían sido comprometidos por una persona no autorizada en nuestro entorno de alojamiento. Esto afectó a aproximadamente 28,000 clientes. Inmediatamente restablecimos estos nombres de usuario y contraseñas, eliminamos un archivo SSH autorizado de nuestra plataforma y tenemos no hay indicación de que la persona haya utilizado las credenciales de nuestros clientes o haya modificado ninguna cuenta de alojamiento de clientes. La persona no tenía acceso a las cuentas GoDaddy principales de los clientes «

SSH ofrece una forma segura de trabajar con sistemas remotos y transferir archivos a través de una crimson. Con una compañía como GoDaddy, los clientes utilizan SSH para conectarse a sus cuentas de alojamiento para cargar o mover archivos y ejecutar comandos a través de una línea de comandos.

En su notificación, la compañía dijo que no encontró evidencia de que se agregaron o modificaron archivos para las cuentas afectadas, aunque continúa investigando el impacto potencial. El incidente se limitó a las cuentas de alojamiento de los usuarios y no afectó las cuentas reales de los clientes. La persona identificada en la violación ha sido bloqueada desde los sistemas de GoDaddy.

GoDaddy también ha estado recomendando a los usuarios que realicen una auditoría de sus cuentas de hosting. Además, la compañía dijo que proporcionará a los usuarios afectados un año gratis de Site Security Deluxe y Convey Malware Elimination, servicios que escanean los sitios world wide web de los clientes en busca de posibles problemas de seguridad.

GoDaddy no reveló la causa exacta de la violación de datos. Pero en marzo, un representante de servicio al cliente de la compañía fue atrapado por un correo electrónico de phishing, según el sitio de noticias de seguridad KrebsOnSecurity. El atacante pudo ver y cambiar varios registros de clientes, incluida la configuración de dominio para algunos clientes de GoDaddy, como el sitio de intermediación de transacciones escrow.com. en un aviso de seguimiento, el CEO de escrow.com Matt Barrie dijo que su la compañía logró recuperar el command de sus entradas de DNS.

En las violaciones de datos, alguna vulnerabilidad o mistake suele ser el culpable del acceso no autorizado. Los cibercriminales expertos están continuamente buscando debilidades y fallas dentro de la red de una organización. Es por eso que las empresas deben hacer un esfuerzo concertado para mantener y fortalecer sus medidas de seguridad, especialmente cuando tienen las claves de los datos privados de los clientes.

«No está claro si el incidente reportado de GoDaddy se debió a la reutilización de credenciales previamente robadas o de ataques de fuerza bruta», Matt Walmsley, director de EMEA en la compañía de seguridad Vectra, le dijo a TechRepublic. «También ha habido informes recientes de que los empleados de soporte de GoDaddy han sido phishing exitosamente, lo que podría estar conectado. Independientemente de cómo se obtuvo el acceso no autorizado, es un claro recordatorio de que el monitoreo de cómo se usan las credenciales privilegiadas, no solo otorgadas, puede hacer que diferencia entre detectar un ataque activo y ser felizmente ignorante ante una violación «.

La violación de datos debería ser una gran preocupación para los clientes de GoDaddy, según Joseph Carson, científico jefe de seguridad y asesor de CISO en Thycotic. Cualquier acceso no autorizado usando cuentas SSH no debería haber ocurrido si la compañía estaba usando autenticación multifactor (MFA) o administración de acceso privilegiado (PAM) para cuentas de acceso remoto.

«Una violación de datos como esta en un gran proveedor de alojamiento es un problema importante, ya que podría abrir las puertas a muchas de las empresas de sus clientes a través de cambios de configuración no autorizados en sus sitios website», dijo Carson. «Aún peor, podría permitir que el ciberdelincuente realice modificaciones en los servicios world-wide-web que podrían robar datos, información de tarjetas de crédito o contraseñas de cuentas».

Para protegerse contra este tipo de violación de datos, las organizaciones deben asegurarse de utilizar una protección de seguridad de extremo a extremo. Como siempre, el objetivo es prevenir tales infiltraciones antes de que ocurran. Pero la tecnología solo puede llegar tan lejos. Las organizaciones también necesitan educar a sus empleados sobre correos electrónicos de phishing y otros tipos de ataques diseñados para explotar datos confidenciales.

Los clientes y usuarios también deben seguir las pautas de seguridad adecuadas y recomendadas para proteger sus cuentas en línea. Siempre vale la pena repetir los siguientes consejos:

Crea una contraseña segura. Hacer malabares con todas las contraseñas que united states of america en línea es un desafío. Pero aún debe idear una contraseña segura para sus cuentas para mantenerlas lo más seguras posible de los piratas informáticos. Si no puede crear o recordar contraseñas seguras, su mejor opción es utilizar un administrador de contraseñas para hacer el trabajo duro.

Utilice la verificación en dos pasos (o la autenticación de dos factores). El uso de un código de verificación enviado a su teléfono móvil o correo electrónico proporciona un medio secundario para confirmar sus inicios de sesión. Incluso si un ciberdelincuente tuviera acceso a sus credenciales de inicio de sesión, esa persona no podría iniciar sesión en su cuenta sin conocer el código que lo acompaña.

Ver también

Infracción de seguridad, alerta de sistema pirateado con el icono de candado roto rojo que muestra datos no seguros bajo ataque cibernético, acceso vulnerable, contraseña comprometida, infección de virus, red de Internet con código binario

Imagen: Getty Photographs / iStockphoto



Enlace a la noticia original