Em 4 de maio de 2020, a GoDaddy, provedor de hospedagem de sites, divulgou que as credenciais SSH (protocolo de rede criptográfico [Secure Shell] para operação de serviços de rede de forma segura sobre uma rede insegura) de aproximadamente 28.000 contas de hospedagem da plataforma foram comprometidas por um invasor não autorizado. [read more=”Continuar lendo…” less=”Menos”]
A empresa, com cerca de 19 milhões de usuários, 6 mil funcionários e um faturamento de US$ 2,7 bilhões em 2019, comunicou hoje que houve uma invasão em sua rede. Ainda não está claro quais pacotes de hospedagem da GoDaddy foram afetados por essa violação. O padrão de segurança SSH, embora extremamente seguro se configurado corretamente, pode permitir logins com uma combinação de nome de usuário/senha ou um nome de usuário e uma chave pública/privada.
No caso dessa violação, tudo indica que o invasor tenha colocado sua chave pública nas contas afetadas para manter o acesso, mesmo que a senha da conta tenha sido alterada.
O aviso enviado aos clientes diz:
“Precisamos informá-lo de um incidente de segurança que afeta suas credenciais de conta de hospedagem na web GoDaddy. Identificamos recentemente atividades suspeitas em um subconjunto de nossos servidores e iniciamos imediatamente uma investigação. A investigação descobriu que um indivíduo não autorizado tinha acesso às suas informações de login usadas para conectar-se ao SSH na sua conta de hospedagem. Não temos evidências de que nenhum arquivo foi adicionado ou modificado em sua conta. O indivíduo não autorizado foi bloqueado de nossos sistemas e continuamos a investigar o possível impacto em todo o ambiente”.
A empresa fez uma comunicação oficial ao governo do Estado da Califórnia, com uma notificação à Procuradoria Geral do Estado, revelando que a invasão ocorreu em outubro de 2019.
Bom, se você é usuário da plataforma, veja o que pode fazer:
Ação imediata
O provedor indica que eles atualizaram as senhas das contas supostamente afetadas e que removeram a chave pública do invasor. Embora isso deva impedir que o invasor acesse sites impactados via SSH, é altamente recomendável alterar a senha do banco de dados de seu site, pois isso pode ser facilmente comprometido por um invasor sem modificar outras informações da conta.
Credenciais de banco de dados comprometidas podem ser usadas para obter o controle de um site WordPress se as conexões remotas de banco de dados estiverem ativas, o que o GoDaddy permite em muitas de suas contas de hospedagem.
Você também pode verificar se há usuários administradores não autorizados em seu site, pois eles podem ter sido criados sem que você tenha visto, e sem modificar nenhum arquivo no site.
Se você foi impactado por essa violação e ainda não foi notificado pela GoDaddy, provavelmente será em breve. Embora “apenas 28.000 contas de hospedagem” aparentemente foram afetadas, estima-se que milhões de sites sejam hospedados pelo GoDaddy. Isso significa que existem milhões de usuários podem estar preocupados com o recebimento de uma notificação de que sua conta de hospedagem foi violada.
Portanto, a probabilidade de uma campanha de phishing segmentar usuários do GoDaddy é alta. Recomendamos que, nessas condições, os clientes do provedor tomem cuidado ao clicar em links ou executar qualquer ação em e-mails para garantir que eles não acabem sendo vítimas de um ataque desse tipo.
Ao ser questionada, a empresa enviou sua posição oficial:
“Em 23 de abril de 2020, identificamos que os nomes de usuário e senhas do SSH foram comprometidos por um indivíduo não autorizado em nosso ambiente de hospedagem. Isso afetou aproximadamente 28.000 clientes. Redefinimos imediatamente esses nomes de usuário e senhas, removemos um arquivo SSH autorizado da nossa plataforma e não temos indicação de que o indivíduo usou as credenciais de nossos clientes ou modificou quaisquer contas de hospedagem de clientes. O indivíduo não teve acesso às principais contas do GoDaddy dos clientes”.
Fique de olho
Violações como essa podem criar um alvo principal para invasores que usam campanhas de phishing como um meio de infectar (mais) usuários. Existem algumas coisas importantes que você pode verificar para ver se é o alvo de um ataque deste tipo:
– Verifique o cabeçalho do email. Se a origem da mensagem não vier de um domínio registrado do GoDaddy, provavelmente não veio deste provedor e é uma tentativa de phishing;
– Procure por erros de digitação ou erros ortográficos no próprio conteúdo do email. Isso pode indicar a presença de um invasor. Os emails profissionais conterão erros de digitação ou erros de ortografia;
– Linguagem alterada usada para assustar você e fazê-lo fornecer informações pessoais. O email de divulgação de incidentes de segurança da GoDaddy não deve assustá-lo, muito menos solicitar que você forneça qualquer informação. Deve simplesmente informar que você pode ter sido afetado por uma violação. Se você receber um e-mail solicitando informações, pode ser uma tentativa de phishing;
– Se você não conseguir verificar a fonte e a legitimidade do email, é melhor ir diretamente ao site do provedor e falar com eles por meio de seus canais de suporte padrão. Isso permitirá que você verifique se sua conta está segura.
***Os servidores do Portal Vida Moderna não utilizam o protocolo SSH e sim TSL/SSL (Secure Sockets Layer), um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário. Também não utilizamos servidores compartilhados.
[/read]
INSCREVA-SE NO CANAL DO YOUTUBE DO VIDA MODERNA
Veja também
Pesquisa mostra crescimento no vazamento de informações em empresas brasileiras
Podcast – Transformação Digital, Edge Computing, LGPD e outros assuntos
Videoconferências exigem cada vez mais segurança contra espionagem e vazamentos de informações