in

¡Compruebe su sitio administrado de WordPress! – Pura seguridad


La Comisión de Valores y Renta Variable de Estados Unidos (SEC) acaba de publicar un «incidente de seguridad» presentado la semana pasada por el gigante de servicios web GoDaddy.

GoDaddy dice que el 17 de noviembre de 2021 se dio cuenta de que los delincuentes cibernéticos estaban en su red, los expulsó y luego trató de averiguar cuándo entraron los delincuentes y qué hicieron mientras estaban en ella.

Según GoDaddy, los ladrones, o ellos Terceros no autorizadoscomo el informe los hace referencia:

  • Ha estado activo desde 09/06/2021, una ventana de diez semanas.
  • Direcciones de correo electrónico y números de clientes adquiridos de 1.200.000 clientes de WordPress administrado (MWP).
  • Obtenga acceso a todos los nombres de usuario y contraseñas activos de MWP para bases de datos sFTP (FTP seguro) y WordPress.
  • Obtenga acceso a claves privadas SSL / TLS pertenece a algunos usuarios de MWP. (El informe solo dice «Un subgrupo de usuarios activos»en lugar de especificar cuántos).

Además, GoDaddy declaró que Contraseñas de administrador predeterminadas de WordPress, que se crearon cuando se abrió cada cuenta, también se llamó, aunque esperamos que pocos usuarios activos del sistema hayan dejado esta contraseña sin cambios después de configurar su presencia en WordPress.

(Las contraseñas de inicio estándar generalmente deben enviarse en texto sin cifrar de alguna manera, a menudo por correo electrónico, especialmente para que pueda iniciar sesión por primera vez y configurar una contraseña correcta que haya elegido usted mismo).

La redacción de GoDaddy dice que «SFTP» […] Se revelaron las contraseñas «lo que hace que parezca que estas contraseñas se almacenaron en texto sin cifrar.

Suponemos que si las contraseñas se hubieran salado, hash y estirado como era de esperar, GoDaddy habría informado de la infracción con él, ya que las contraseñas correctamente hash aún deben descifrarse después de los atacantes, y con contraseñas bien elegidas y una decente. proceso de hash, este proceso puede tardar semanas, meses o años.

De hecho, los investigadores de WordFence, una empresa que se centra en la seguridad de WordPress, dicen que pudieron leer su propia contraseña sFTP a través de la interfaz de usuario oficial de MWP, lo que no habría sido posible si las contraseñas se hubieran almacenado en un «no» reversible. “Forma hash.

¿Qué pudo haber pasado con los sitios web afectados?

GoDaddy ahora ha restablecido todas las contraseñas afectadas y está en el proceso de reemplazar cualquier certificado web potencialmente robado por otros recién generados.

GoDaddy también está en proceso de ponerse en contacto con la mayor cantidad posible de los 1.200.000 usuarios afectados. (Es posible que los clientes que no puedan ser contactados debido a información incorrecta o desactualizada no reciban notificaciones de GoDaddy, pero no hay mucho que GoDaddy pueda hacer al respecto).

Esta es una respuesta útil, y GoDaddy no dudó en publicarla, ya que la infracción se descubrió hace solo cinco días.

(La empresa también se disculpó sin complicaciones y sin reservas, diciendo que «Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de implementación con capas adicionales de protección».que es un cambio refrescante de las empresas que comienzan por decirle qué tan fuerte era su protección antes del incidente).

Sin embargo, dado que los delincuentes tenían diez semanas antes de ser descubiertos, las contraseñas sFTP y los certificados web comprometidos podrían haber perpetrado más delitos cibernéticos contra los usuarios de MWP.

En particular, los delincuentes que conocen su contraseña sFTP podrían, en teoría, no solo descargar los archivos que componen su sitio y, por lo tanto, robar su contenido principal, sino también cargar adiciones no autorizadas al sitio.

Estas adiciones no autorizadas al sitio web podrían incluir:

  • Complementos de WordPress de puerta trasera para permitir que los delincuentes se cuelen de nuevo incluso después de cambiar sus contraseñas.
  • Noticias falsas que avergonzarían a su empresa cuando los clientes lo encuentren.
  • Malware que se dirige directamente a su sitio webcomo criptominería o robo de datos, que deben realizarse directamente en el servidor.
  • Malware que se dirige a los visitantes de su sitio webtal como B. Malware zombi entregado como parte de una estafa de phishing.

Además, con una copia de su clave privada SSL / TLS, los estafadores podrían configurar un sitio falso en otro lugar, por ejemplo, utilizando su propio certificado web.

¿Qué tengo que hacer?

  • Mantén a GoDaddy en contacto contigo sobre el incidente. También puede verificar que sus datos de contacto sean correctos para que definitivamente los reciba si la empresa necesita enviarle un correo electrónico.
  • Encienda 2FA si aún no lo ha hecho. En este caso, los atacantes aparentemente violaron la seguridad a través de un agujero de seguridad, pero luego irrumpir en las cuentas de usuario con contraseñas extraídas es mucho más difícil si la contraseña por sí sola no es suficiente para completar el proceso de autenticación.
  • Verifique todos los archivos en su sitio web, especialmente los que se encuentran en los directorios de temas y complementos de WordPress. La carga de complementos de trampas explosivas podría hacer que los atacantes vuelvan a ingresar a su cuenta más adelante, incluso después de que se hayan reparado todas las lagunas originales y se hayan cambiado las contraseñas robadas.
  • Verifique todas las cuentas en su sitio web. Otro truco popular entre los delincuentes cibernéticos es crear una o más cuentas nuevas, a menudo utilizando nombres de usuario cuidadosamente elegidos para que coincidan con los nombres existentes en su sitio web para volver a colarse más tarde.
  • Tenga cuidado de que nadie se ponga en contacto con usted de la nada y se ofrezca a «ayudarlo» a limpiar. En este caso, los atacantes se salieron con la suya con todas las direcciones de correo electrónico de los usuarios afectados, por lo que estas «ofertas» podrían provenir directamente de ellos, o incluso de cualquier otro ciberdelincuente de búsqueda de ambulancias que sepa o sospeche que usted es un usuario de MWP. .

Por cierto, esperamos que si GoDaddy realmente almacena las contraseñas sFTP en texto sin cifrar, GoDaddy dejará de hacerlo de inmediato y se pondrá en contacto con todos sus clientes de MWP para explicar qué está haciendo ahora.


What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Se lanzó la vista previa de la actualización acumulativa para Windows 11 KB5007262

El Pentágono se asocia con GreyNoise para investigar los escaneos de Internet