24 نوامبر
نقض داده GoDaddy که بیش از 1.2 میلیون میزبان وب را تحت تأثیر قرار داد به شش میزبان وب دیگر که به مشتریان در سراسر جهان خدمات ارائه می دهند گسترش یافته است. شش میزبان وب دیگر در معرض خطر، فروشندگان خدمات میزبانی GoDaddy هستند. به نظر می رسد وسعت نفوذ مانند GoDaddy باشد، با تاریخ های تطبیق زمانی که نفوذ امنیتی شروع شد.
شش ارائه دهنده میزبانی وب در معرض خطر عبارتند از:
- 123 Reg
- کارخانه دامنه
- اینترنت قلب
- اروپا میزبان
- معبد رسانه ها
- tsoHost
تبلیغات
ادامه مطلب زیر
تاریخ دقیق نفوذ
ایالت کالیفرنیا در 23 نوامبر 2021 اخطاریه نقض امنیتی ارسال شده توسط GoDaddy را منتشر کرد.
در اطلاعیه کالیفرنیا، GoDaddy تاریخ های مشخصی را برای نفوذهای امنیتی ارائه کرد.
تاریخ های نفوذ عبارتند از:
- 2021/09/06
- 09/07/2021
- 09/08/2021
- 09/09/2021
- 2021/09/10
- 09/11/2021
- 11/07/2021
این تاریخها مهم هستند زیرا طبق اطلاعات منتشر شده توسط Wordfence، به مشتریان حداقل دو ارائهدهنده میزبانی اعلانهایی ارسال شد که به همان تاریخ نفوذ، 6 سپتامبر 2021 اشاره داشت. این بدان معناست که علت اصلی نقض داده های اضافی، حداقل بر اساس تاریخ، اگر بیشتر نباشد، مرتبط است.
تبلیغات
ادامه مطلب زیر
اعلان های ارسال شده به مشتریان GoDaddy و حداقل دو میزبان وب اضافی نیز مشابه هستند.
این متن بخشی از ایمیل ارسال شده به مشتریان GoDaddy است:
ما در حال نوشتن هستیم تا شما را از یک حادثه امنیتی که بر سرویس میزبانی وردپرس مدیریت شده GoDaddy شما تأثیر گذاشته است مطلع کنیم.
در 17 نوامبر، ما فعالیت مشکوکی را در محیط میزبانی وردپرس خود شناسایی کردیم و بلافاصله با کمک یک شرکت پزشکی قانونی فناوری اطلاعات شخص ثالث تحقیقات را آغاز کردیم و با مجری قانون تماس گرفتیم.
تحقیقات ما ادامه دارد، اما مشخص کردهایم که در تاریخ 6 سپتامبر 2021 یا حدوداً، یک شخص ثالث غیرمجاز به اطلاعات احراز هویت خاص برای خدمات اداری، بهویژه شماره مشتری و آدرس ایمیل مرتبط با حساب شما دسترسی پیدا کرده است. ورود به سیستم مدیریت وردپرس شما در ابتدا تنظیم شد. و sFTP شما و
نام کاربری و رمز عبور پایگاه دادهاین بدان معناست که شخص غیرمجاز میتوانست به سرویس مدیریت وردپرس شما دسترسی داشته باشد و تغییراتی در آن ایجاد کند، از جمله تغییر وبسایت شما و محتوای ذخیرهشده در آن.»
اعلان ارسال شده به مشتریان GoDaddy مشابه اعلان ایمیلی است که برای مشتریان MediaTemple ارسال می شود.
این بخشی از ایمیل ارسال شده به مشتریان MediaTemple است:
«…ما تشخیص دادهایم که در تاریخ ۶ سپتامبر ۲۰۲۱ یا حدود آن، یک شخص ثالث غیرمجاز به اطلاعات احراز هویت خاصی برای خدمات اداری، بهویژه، شماره مشتری و آدرس ایمیل مرتبط با حساب شما دسترسی پیدا کرده است. ورود به سیستم مدیریت وردپرس شما در ابتدا تنظیم شد. و نامهای کاربری و رمزهای عبور sFTP و پایگاه داده شما.”
مدیران هاست های وب مربوطه رمزهای عبور را بازنشانی کرده اند و به مشتریان توصیه می کنند رمز عبور خود را بازنشانی کنند. آنهایی که اطلاعات گواهینامه SSL آنها در معرض دید قرار گرفته است ممکن است مجبور شوند گواهینامه های خود را دوباره نصب کنند.
تبلیغات
ادامه مطلب زیر
مشتریان با وب سایت های احتمالی در معرض خطر مواجه می شوند؟
مشتریان شش ارائهدهنده میزبانی وب اضافی که در معرض نقض دادهها قرار گرفتهاند، ممکن است با احتمال مشکلات امنیتی بیشتری مواجه شوند، زیرا دادههای حساس آنها به مدت دو ماه شناسایی نشده بود و به هکرها زمان میداد تا درهای پشتی را نصب کنند، حسابهای اداری سرکش را اضافه کنند و اسکریپتهای مخرب را آپلود کنند. .