Home > Primo Piano > Data breach di GoDaddy, 28000 account di web hosting violati: cosa c’è da sapere e come si sarebbe potuto evitare

Data breach di GoDaddy, 28000 account di web hosting violati: cosa c’è da sapere e come si sarebbe potuto evitare

scritto da: Netwrix | segnala un abuso

Data breach di GoDaddy, 28000 account di web hosting violati: cosa c’è da sapere e come si sarebbe potuto evitare

GoDaddy, il più grande registrar di domini al mondo, ha confermato che 28.000 account di web hosting dei suoi clienti sono stati compromessi a seguito di un incidente di sicurezza nell’ottobre 2019.


Quasi tutti avete sentito parlare di GoDaddy, oltre 19 milioni di clienti, 77 milioni di domini gestiti e milioni di siti Web ospitati. Negli ultimi giorni il nome di GoDaddy è rimbalzato sui siti di informazione per un nuovo data breach che avrebbe interessato la compagnia.

La conferma della violazione dei dati, in un’e-mail firmata dal CISO di GoDaddy Demetrius Comes, ha rivelato che l‘incidente di sicurezza in questione è emerso dopo che un’attività sospetta è stata recentemente identificata su alcuni server GoDaddy. La violazione stessa sembra essersi verificata il 19 ottobre 2019, secondo il Dipartimento di Giustizia dello Stato della California, con cui è stato archiviato l’esempio di notifica via e-mail

L’incidente di sicurezza si è verificato il 19 ottobre 2019, ma non è stato rilevato fino al 23 aprile 2020, quando GoDaddy ha notato alcune attività sospette che si erano verificate su un sottoinsieme dei suoi server.

Dal punto di vista tecnico non è ancora chiaro come sia stato effettuato l’attacco, forse sfruttando una vulnerabilità nota di SSH, casualmente una grave vulnerabilità in OpenSSH da 7.7 a 7.9 e in tutte le versioni di OpenSSH 8 fino a 8.1. è stata scoperta lo scorso anno e risolta il 9 ottobre scorso nella versione 8.1. in concomitanza con la data di ottobre 2019 che GoDaddy ha confermato essere il periodo in cui i loro server di hosting sono stati compromessi.

Potrebbe essere stato utilizzato un attacco brute force, ma gli attaccanti considerano ormai questo tipo di attacco troppo poco efficiente in quanto può richiedere tempi lunghi.

Molto probabilmente sono state utilizzate delle credenziali di un account privilegiato che potrebbero essere state “trovate” nel dark web o ottenute tramite social engineering o email di spear fishing.

Quali le conseguenze?

Il fatto più eclatante è che l’incidente di sicurezza si è verificato il 19 ottobre 2019, ma non è stato rilevato fino al 23 aprile 2020, quando GoDaddy ha notato alcune attività sospette che si verificano su un sottoinsieme dei suoi server. Anche se la compagnia assicura che l’incidente ha riguardato “solo” user name e password degli account di hosting utilizzati dai clienti per accedere ai server via SSH e che le informazioni archiviate nell’account cliente non erano accessibili all’attaccante, per 6 mesi l’attaccante ha avuto accesso ai server dei domini le cui credenziali erano state compromesse e sappiamo bene che tramite protocollo SSH è possibile trasferire dati….

Il solo fatto che siano state violate delle credenziali (username e password) può costituire una ulteriore minaccia per gli attori coinvolti che utilizzano la stessa password per l’accesso ad altre applicazioni (quanti di noi utilizzano la stessa password per tutto?) e questa password è in possesso degli hacker dal 19 ottobre scorso…

Inoltre ora gli hacker potranno sbizzarrirsi con attacchi di spear fishing mirati agli utenti le cui credenziali sono state compromesse, ma anche attacchi di fishing a utenti di GoDaddy inconsapevoli; la stessa GoDaddy ha dichiarato di aver inviato una mail ai clienti interessati per il ripristino della password compromessa e di aver garantito un anno di accesso gratuito al servizio Website Security Deluxe and Express Malware Removal ai clienti interessati dal furto di credenziali. Ora immaginate di essere un cliente GoDaddy, di ricevere una mail in cui vi viene notificato che per l’incidente dovete seguire una determinata procedura per il ripristino della password cliccando su di un link o aprendo un determinato documento allegato alla mail….quanti aprono l’allegato o cliccano sul link senza verificare che la mail sia effettivamente stata inviata dal customer support dell’operatore?

Come si sarebbe potuto evitare?

Il controllo delle attività degli utenti (Audit e UBA) non può più essere un “nice to have”, ma è qualcosa da cui le aziende non possono prescindere; con un sistema di audit e di controllo delle anomalie si sarebbe potuto evitare o limitare al minimo l’accesso indebito.

Un sistema di audit permette di tenere sotto controllo tutte le attività degli utenti, privilegiati e non e di essere allertati in tempo reale se un utente sta svolgendo attività non in linea con il suo profilo, se sta effettuando operazioni anomale, in orari sospetti, collegandosi da indirizzi ip, client o server non trustati o rimuovendo ed esfiltrando dati.

La gestione delle password è diventata di vitale importanza per le aziende, non è più pensabile di utilizzare sistemi di autenticazioni basati solo su user name e password, ma è necessario implementare un autenticazioni a più fattori, minimo due o anche tre se possibile utilizzando one time password.

Se poi si tratta di credenziali di accesso a SSH, è fondamentale che le organizzazioni rispettino il più alto livello di sicurezza dell’accesso SSH e disabilitino l’autenticazione tramite semplici credenziali utilizzando invece le identità delle macchine e implementando un sistema di autenticazione crittografato a chiave pubblica-privata per autenticare l’utente e il sistema.

Conclusioni

Mettere in sicurezza un ambiente cloud richiede sforzo di squadra in cui devono essere coinvolti sia il fornitore di servizi che l’azienda client, è necessario lavorare insieme per mettere in atto tutte le migliori pratiche di sicurezza senza dimenticarsi di controllare continuamente l’attività degli utenti e delle macchine.


Fonte notizia: https://www.netwrix.it/auditor.html


audit | brute force | Data breach | furto di dat | iGoDaddy | it audit | IT Security | netwrixmakeiteasy | password | Password Security | ssh | uba | ueba | username | sicurezza informatica | attacchi internet |



Commenta l'articolo

 

Potrebbe anche interessarti

Lo strano caso del Dottor Chances


Robinson Jr.


La vita in piazza di Maria Concetta Distefano


GoDaddy presenta il nuovo logo “the GO” ed espande la sua missione di dare forza agli imprenditori di tutti i giorni


Movimento Network Marketing


La montagna in salute


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

ICOS e Netwrix annunciano una partnership per portare più valore ai clienti nell’ambito della sicurezza, visibiltà e governance dei dati

ICOS e Netwrix annunciano una partnership per portare più valore ai clienti nell’ambito della sicurezza, visibiltà e governance dei dati
ICOS, distributore a valore aggiunto di soluzioni infrastrutturali e di sicurezza IT e Netwrix, azienda leader nella protezione dei dati sensibili e business-critical, nonché primo vendor a introdurre una piattaforma di visibilità e governance per la sicurezza del cloud ibrido, hanno annunciato oggi la firma di un accordo di distribuzione per il territorio italiano. Sono tante le sfide che le aziende, gli enti pubblici ma anche i cittadini devono affrontate in materia di sicurezza informatica. Una di esse è rappresentata dal fatto che è sempre più difficile individuare i dati da proteggere e i luoghi in cui essi risiedono (es. cloud, e-mail, pc portatili, e così via). Un’altra sfida è rappresentata dal continuo inasprimento delle leggi e regolamentazioni (continua)

Netwrix annuncia una partnership tecnologica con Safetica

Netwrix annuncia una partnership tecnologica con Safetica
La classificazione accurata e automatizzata dei dati sensibili è ora estesa agli endpoint aziendali. Netwrix Corporation, fornitore di sicurezza informatica che semplifica la sicurezza dei dati, e Safetica, una società che sviluppa software per la prevenzione della perdita di dati (DLP), hanno annunciato oggi una partnership tecnologica per fornire alle organizzazioni una classificazione consistente dei dati in tutto l'ambiente IT, migliorando la sicurezza e riducendo il carico di lavoro IT. (continua)

Netwrix acquisisce PolicyPak ed estende la propria offerta con la sicurezza degli endpoint

Netwrix acquisisce PolicyPak ed estende la propria offerta con la sicurezza degli endpoint
Aggiungendo PolicyPak al suo portafoglio, Netwrix consente alle aziende di tutte le dimensioni di aumentare la sicurezza e semplificare la gestione dei propri desktop e laptop Windows 10 on-premise e remoti. Netwrix Corporation, fornitore di sicurezza informatica che semplifica la sicurezza dei dati, ha annunciato oggi l'acquisizione di PolicyPak, un produttore di software che aiuta le organizzazioni di tutte le dimensioni a proteggere e gestire i propri desktop e laptop Windows 10 locali e remoti. I termini della transazione non sono stati divulgati.  Questa aggiunta completa il portafo (continua)

NETWRIX ACQUISISCE NEW NET TECHNOLOGIES (NNT) PER AIUTARE I CLIENTI A IDENTIFICARE MEGLIO I RISCHI PER LA SICUREZZA E PROTEGGERSI DALLE MINACCE INFORMATICHE

NETWRIX ACQUISISCE NEW NET TECHNOLOGIES (NNT) PER AIUTARE I CLIENTI A IDENTIFICARE MEGLIO I RISCHI PER LA SICUREZZA E PROTEGGERSI DALLE MINACCE INFORMATICHE
Le soluzioni NNT aiutano le organizzazioni a monitorare e controllare le modifiche e le configurazioni, che sono fondamentali per la protezione dalle minacce alla sicurezza dei dati Netwrix Corporation, fornitore di sicurezza informatica che semplifica la sicurezza dei dati, ha annunciato oggi l'acquisizione di New Net Technologies (NNT), un produttore di software che fornisce soluzioni di change, configuration, asset e vulnerability management. Questa aggiunta al portafoglio prodotti Netwrix aiuterà ulteriormente i clienti a migliorare l'identificazione e la protezione (continua)

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili
Le due società di sicurezza informatica uniscono le forze per offrire soluzioni per la sicurezza dei dati e la privacy a organizzazioni di qualsiasi dimensione e in qualsiasi regione del mondo. Netwrix, fornitore di cybersecurity che semplifica la sicurezza dei dati, ha annunciato oggi una fusione con Stealthbits, leader della sicurezza informatica che protegge i dati sensibili e le credenziali dagli aggressori. L'entità combinata continuerà a offrire il suo portafoglio completo di oltre una mezza dozzina di soluzioni di sicurezza volte a identificare e rilevare i rischi per la sic (continua)