Con la clave privada SSL robada, podría realizarse con éxito un ataque man-in-the-middle
El gigante de alojamiento web GoDaddy reveló el lunes una filtración de datos que resultó en el acceso no autorizado a datos pertenecientes a un total de 1.2 millones de clientes activos e inactivos, lo que lo convierte en el tercer incidente de seguridad que sale a la luz desde 2018.
En una presentación ante la Comisión de Bolsa y Valores de EE. UU. (SEC), el registrador de dominios más grande del mundo dijo que un tercero malicioso logró el 6 de septiembre obtener acceso a su entorno de alojamiento de WordPress administrado con la ayuda de una contraseña comprometida, utilizándola para obtener información sensible de sus clientes. No está claro de inmediato si la contraseña comprometida se protegió con autenticación de dos factores.
La empresa con sede en Arizona cuenta con más de 20 millones de clientes, con más de 82 millones de nombres de dominio registrados utilizando sus servicios.
IMG
GoDaddy reveló que descubrió el robo el 17 de noviembre. Se está llevando a cabo una investigación sobre el incidente y la compañía dijo que está "contactando a todos los clientes afectados directamente con detalles específicos". Se cree que el intruso ha accedido a la siguiente información:
• Direcciones de correo electrónico y números de clientes de hasta 1,2 millones de clientes de WordPress administrados activos e inactivos
• Se expuso la contraseña de administrador de WordPress original que se estableció en el momento del aprovisionamiento
• sFTP y nombres de usuario y contraseñas de bases de datos asociados con sus clientes activos, y
• Claves privadas SSL para un subconjunto de clientes activos
GoDaddy dijo que está en proceso de emitir e instalar nuevos certificados para los clientes afectados. Como medida de precaución, la compañía también declaró que ha restablecido las contraseñas afectadas y está reforzando su sistema de aprovisionamiento con protecciones de seguridad adicionales.
Según el director ejecutivo de Wordfence, Mark Maunder, "GoDaddy almacenaba las contraseñas sFTP de tal manera que se podían recuperar las versiones de texto sin formato de las contraseñas, en lugar de almacenar hashes salados de estas contraseñas o proporcionar autenticación de clave pública, que son las mejores prácticas de la industria".
Si bien las filtraciones de datos ya no son una ocurrencia esporádica, la exposición de direcciones de correo electrónico y contraseñas presenta un riesgo de ataques de phishing, por no mencionar permitir a los atacantes exfltrar los sitios vulnerables de WordPress para cargar malware y acceder a otra información de identificación personal almacenada en ellos.
"En los sitios donde se expuso la clave privada SSL, un atacante podría descifrar el tráfico utilizando la clave privada SSL robada, siempre que pudieran realizar con éxito un ataque man-in-the-middle (MITM) que intercepta el tráfico cifrado entre un visitante del sitio y un sitio afectado", dijo Maunder.
