全球最大域名注册商 GoDaddy 的托管账户凭证遭泄露

GoDaddy 表示，问题发现于2019年4月23日，“未认证个人”可访问用户的登录凭证。该公司指出，这些泄露事件仅影响托管账户而非 GoDaddy.com 客户账户，而且主账户中的客户数据并未遭访问。GoDaddy 的用户超过1900万名，遍布全球，不过仅有2.8万名用户受影响。

该公司并未证实攻击者对这些凭证的访问权限有多久，不过评论称，“2020年4月23日，我们发现未认证个人在托管环境中攻陷了 SSH 用户名和密码。这影响约2.8万名客户。我们立即重置了这些用户名和密码，从平台删除了授权 SSH 文件，并未发现客户凭证遭使用或客户托管账户遭修改。客户的 GoDaddy 主账户并未遭访问。”

GoDaddy 公司指出，同时，“我们最近在服务器子集中发现可疑活动并立即展开调查。调查结果显示一名未授权个人访问了用于连接托管账户上 SSH 的登录信息。我们并没有证据表明账户上新增文件或文件被修改。系统已拦截该访问权限，我们将持续调查该事件对我们环境的潜在影响。”

SSH 主要用于登录远程机器和执行命令，但同时用于使用相关联的 SSH 文件传输 (SFTP) 或安全复制 (SCP) 协议传输文件。

Cerberus Sentinel 公司结局方案架构副总裁 Chris Clements 表示，“GoDaddy 暗示客户账户在2019年10月遭攻陷，然而现在才检测到攻陷事件并通知客户。如果这种情况属实，那么意味着攻击者控制 GoDaddy 客户托管账户的时间已经有大约7个月的时间。GoDaddy 向受影响客户表示，‘我们并没有证据表明账户添加或修改了任何文件’，然而，攻击者看似也很有可能就只是能够访问该账户但并未尝试做出任何恶意行为，但这不合常理。GoDaddy 公司应当提供更多调查详情并提供支撑证据，解释清楚为何花了大概一年半的时间才发现。”

GoDaddy 公司还表示发现数据泄露事件后“立即”展开调查，但并未表示攻击是如何执行的。该公司表示已重置受影响用户的密码：“我们已经积极重置了您的托管账户登录密码，以阻止任何潜在的未授权访问权限。出于谨慎起见的原因，我们建议您审计托管账户。”

这是 GoDaddy 公司最近遭遇的数据泄露事件——三月份，攻击者钓鱼攻击员工，获得对其内部支持系统的访问权限，并修改至少五名客户的域名条目。

Clements 表示，“这是一种糟糕的安全实践，但技术支持在票务追踪系统备注中输入敏感信息如账户密码的情况也不少见。不难想象，具有访问内部支持系统权限的攻击者可能已经提取了尽可能多的票务系统数据并梳理执行攻击。虽然这种情况尚未得到证实，但可成为新攻击来源。”

2018年，GoDaddy 公司还暴露了亚马逊 AWS 中数万系统（及运行这些系统的具有竞争力的敏感定价选项）中的高级配置信息，起因是云存储配置错误。

https://threatpost.com/godaddy-hack-breaches-hosting-account-credentials/155475/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    点个 “在看” ，加油鸭~