Компания GoDaddy сообщила, что неизвестный злоумышленник получил несанкционированный доступ к системе, используемой для обеспечения работы сайтов WordPress, и завладел информацией 1,2 млн аккаунтов пользователей.

Как отмечает Engadget, злоумышленники получили доступ к адресам электронной почты, номерам, паролям администратора для сайтов WordPress, размещенных на платформе, а также паролям для sFTP, баз данных и закрытым ключам SSL.

К чему у злоумышленников был доступ?

Согласно отчету, поданному GoDaddy в SEC, злоумышленник первоначально получил доступ к системе с помощью скомпрометированного пароля 6 сентября 2021 года. А обнаружен был только 17 ноября 2021 года, после чего его доступ был аннулирован. Хотя компания приняла незамедлительные меры для уменьшения ущерба, у злоумышленника было более двух месяцев, чтобы использовать полученные данные.

Все это время злоумышленник имел доступ к адресам электронной почты пользователей, номерам клиентов, исходному паролю администратора WordPress и закрытым ключам SSL. Все это может быть полезно злоумышленнику, но особенно выделяется один пункт: пароли активных клиентов sFTP и баз данных.

Судя по всему сервис GoDaddy хранил пароли просто в текстовом файле или формате, который легко в него перенести, вместо того, чтобы хранить хэши этих паролей или обеспечивать аутентификацию с открытым ключом.

Стоит также отметить, что цифра в 1,2 млн не полностью отражает количество веб-сайтов, затронутых этим нарушением, поскольку речь идет именно о клиентах GoDaddy, некоторые из которых имеют в своих учетных записях несколько управляемых сайтов.

Что делать владельцам сайтов WordPress, управляемых GoDaddy?

Как отмечает Wordfence, GoDaddy свяжется с пострадавшими клиентами в ближайшие несколько дней. Между тем, учитывая серьезность проблемы и данные, к которым злоумышленник имел доступ, мы рекомендуем всем пользователям Managed WordPress предположить, что они были взломаны, и выполнить следующие действия:

  • Если вы управляете сайтом электронной коммерции или храните личную информацию клиентов, и GoDaddy подтвердит, что ваши данные были скомпрометированы, вы, скорее всего, будете обязаны уведомить своих клиентов об этом. Изучите нормативные требования, действующие в вашей юрисдикции, и убедитесь, что вы их соблюдаете.
  • Измените все свои пароли WordPress и, если возможно, принудительно сбросьте пароль для пользователей и клиентов. Поскольку злоумышленник имел доступ к хешам паролей в каждой уязвимой базе данных WordPress, он потенциально мог взломать и использовать эти пароли.
  • Измените любые повторно используемые пароли и посоветуйте сделать это своим пользователям или клиентам. Злоумышленник потенциально может использовать учетные данные, извлеченные с пораженных сайтов, для доступа к любым другим службам, где использовался тот же пароль. Например, если один из ваших клиентов использует на вашем сайте тот же адрес электронной почты и пароль, что и для своей учетной записи Gmail, злоумышленник может взломать Gmail.
  • По возможности включайте двухфакторную аутентификацию. Есть плагины, обеспечивающие эту возможность бесплатно для сайтов WordPress.
  • Проверьте свой сайт на наличие неавторизованных учетных записей администраторов.
  • Просканируйте свой сайт на наличие вредоносных программ.
  • Проверьте файловую систему вашего сайта, в том числе wp-content/plugins и wp-content/mu-plugins, на предмет любых неожиданных подключаемых модулей или подключаемых модулей, которые не отображаются в меню, поскольку можно использовать законные подключаемые модули для обеспечения несанкционированного доступа.
  • Обращайте внимание на подозрительные электронные письма — фишинг по-прежнему представляет собой риск, и злоумышленник может использовать извлеченные электронные письма и номера клиентов для получения дополнительной конфиденциальной информации от жертв этого взлома.