El registrador de dominios Kingpin ha registrado su quinto ciberincidente desde 2018, después de que un atacante con una contraseña comprometida robara direcciones de correo electrónico, claves SSH e inicios de sesión en la base de datos.
El gigante del alojamiento web GoDaddy ha confirmado otra filtración de datos, que esta vez ha afectado al menos a 1,2 millones de sus clientes.
El lunes, el mayor registrador de dominios del mundo dijo en una presentación pública a la SEC que un «tercero no autorizado» logró infiltrarse en sus sistemas el 6 de septiembre, y que la persona o personas tuvieron acceso continuo durante casi dos meses y medio antes de que GoDaddy se diera cuenta de la brecha el 17 de noviembre.
«Identificamos una actividad sospechosa en nuestro entorno de alojamiento de WordPress gestionado e inmediatamente comenzamos una investigación con la ayuda de una empresa forense de TI y nos pusimos en contacto con las fuerzas del orden», dijo Demetrius Comes, CISO de GoDaddy, en el aviso del sitio web.
En concreto, los atacantes comprometieron el entorno de alojamiento de WordPress gestionado de GoDaddy, un servicio de creación de sitios que permite a las empresas y a los particulares utilizar el popular sistema de gestión de contenidos (CMS) WordPress en un entorno alojado, sin tener que gestionarlo y actualizarlo ellos mismos.
«Utilizando una contraseña comprometida, un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredada para Managed WordPress», según Comes.
La información que el ciberdelincuente o los ciberdelincuentes al acecho fueron capaces de robar es una mezcla. La empresa con sede en Scottsdale, Arizona, dijo que incluía:
- Correos electrónicos y números de cliente de 1,2 millones de clientes activos e inactivos de Managed WordPress
- Nombres de usuario y contraseñas sFTP y de bases de datos para los clientes activos (las contraseñas ya se han restablecido)
- Claves privadas SSL «para un subconjunto de clientes activos», utilizadas para autenticar los sitios web ante los usuarios de Internet, habilitar el cifrado y evitar los ataques de suplantación. GoDaddy está en proceso de emitir e instalar nuevos certificados para los clientes afectados.
No adjuntó cifras sobre el número de clientes afectados por el inicio de sesión en la base de datos o el compromiso de los certificados.
«Nuestra investigación está en curso, y estamos contactando con todos los clientes afectados directamente con detalles específicos», concluyó Comes. «Aprenderemos de este incidente y ya estamos tomando medidas para reforzar nuestro sistema de aprovisionamiento con capas adicionales de protección».
También quedan dudas sobre cómo se protegió la cuenta en sí: ¿Se utilizó una contraseña segura o una autenticación multifactorial (MFA)?
«La pregunta clave es si se utilizó un factor múltiple. Dado que esta brecha fue causada por una credencial comprometida, no imagino que el inicio de sesión estuviera protegido por la autenticación multifactor, que es un elemento que podría haber causado esta brecha», dijo Randy Watkins, CTO de Critical Start, por correo electrónico. «De cara al futuro, la gestión de claves y contraseñas es crucial. Aplicar el mínimo privilegio cuando sea aplicable puede disminuir el impacto de una credencial comprometida, pero sigue siendo mejor proteger cada inicio de sesión con MFA y monitorear las cuentas de servicio que no soportan MFA.»
Los clientes de GoDaddy en el punto de mira de los ciberdelincuentes
En lo que respecta a las ramificaciones para los afectados, el phishing de seguimiento es lo más obvio a tener en cuenta, como señaló GoDaddy en su anuncio. Pero también hay que tener en cuenta otras cuestiones, según los investigadores.
«Esta brecha podría significar varias cosas para los usuarios», dijo Watkins. «Existe la posibilidad de que las claves o credenciales se utilicen para obtener acceso o suplantar sitios de clientes. Cualquiera de estos escenarios podría llevar a comprometer también los datos de esas organizaciones [clientes]». Mientras que esta brecha sólo será un inconveniente para la mayoría, otros pueden sufrir graves daños a la marca por la suplantación de sitios o por una brecha real. «
Según Murali Palanisamy, director de soluciones de AppViewX, las claves privadas y los certificados SSL comprometidos también podrían permitir a los hackers secuestrar un nombre de dominio y utilizarlo para pedir un rescate por su devolución.
«También pueden redirigir a los usuarios a lo que parece ser un sitio web idéntico y desplegar malware o recoger las credenciales de los usuarios y la información de las tarjetas de crédito y mucho más», dijo por correo electrónico. «Todas estas amenazas son eventos de nivel de extinción».
Añadió que aunque GoDaddy está trabajando para actualizar los certificados SSL, llevará tiempo lograrlo, por lo que los clientes podrían querer tomar el asunto en sus propias manos.
«Para mitigar las vulnerabilidades actuales, los clientes de GoDaddy deben comprobar que los certificados están actualizados y cambiar las contraseñas de acceso a sFTP por números, letras y símbolos nuevos y únicos», dijo. «También recomendaría incorporar una capacidad de agilidad criptográfica, que permita una rápida renovación de certificaciones y claves».
A largo plazo, los usuarios también podrían incorporar certificados automáticos de corta duración.
«De esta manera, si las claves se ven comprometidas, no son utilizadas por los atacantes, y se reduce la ventana de oportunidad para estos sofisticados ataques», dijo. «Los clientes de GoDaddy deben vigilar la actividad inusual y reportar cualquier bandera roja al gobierno/FTC tan pronto como sea posible».