Este é um anúncio de serviço público (PSA) da equipe do Wordfence sobre um problema de segurança que pode afetar alguns de nossos clientes. Em 4 de maio de 2020, a GoDaddy, um dos maiores provedores de hospedagem de sites do mundo, divulgou que as credenciais SSH de aproximadamente 28.000 contas de hospedagem da GoDaddy foram comprometidas por um invasor não autorizado.

O SSH, embora extremamente seguro se configurado corretamente, pode permitir logins com uma combinação de nome de usuário / senha ou um nome de usuário e um par de chaves pública / privada. No caso dessa violação, parece provável que um invasor tenha colocado sua chave pública nas contas afetadas para manter o acesso, mesmo que a senha da conta tenha sido alterada.

Não está claro quais pacotes de hospedagem do GoDaddy foram afetados por essa violação. De acordo com a declaração pública do GoDaddy:

“Em 23 de abril de 2020, identificamos que os nomes de usuário e senhas do SSH foram comprometidos por um indivíduo não autorizado em nosso ambiente de hospedagem. Isso afetou aproximadamente 28.000 clientes. Redefinimos imediatamente esses nomes de usuário e senhas, removemos um arquivo SSH autorizado da nossa plataforma e não temos indicação de que o indivíduo usou as credenciais de nossos clientes ou modificou quaisquer contas de hospedagem de clientes. O indivíduo não teve acesso às principais contas do GoDaddy dos clientes. “

A violação em si parece ter ocorrido em 19 de outubro de 2019.

O que devo fazer?

Ação imediata

Se você foi impactado por essa violação e ainda não foi notificado pelo GoDaddy, provavelmente será notificado em um futuro próximo.

GoDaddy indica que eles atualizaram as senhas da conta e removeram a chave pública do invasor. Embora isso deva impedir que o invasor acesse sites impactados via SSH, é altamente recomendável alterar a senha do banco de dados do site, pois isso pode ser facilmente comprometido por um invasor sem modificar a conta.

Credenciais de banco de dados comprometidas podem ser usadas para obter o controle de um site WordPress se as conexões remotas de banco de dados estiverem ativadas, o que o GoDaddy permite em muitas de suas contas de hospedagem. Você também pode verificar se há usuários administrativos não autorizados no seu site, pois eles podem ter sido criados sem modificar nenhum arquivo no site.

Permaneça vigilante

Violações como essa podem criar um alvo principal para invasores que usam campanhas de phishing como um meio de infectar usuários.

Phishing, por definição geral, é um ataque pelo qual um invasor cria um email que parece vir de uma fonte legítima, mas destina-se a obter informações confidenciais de um usuário inocente. Embora apenas 28.000 contas de hospedagem pareçam ter sido afetadas, estima-se que milhões de sites sejam hospedados pelo GoDaddy. Isso significa que existem milhões de usuários por aí que podem estar preocupados com o recebimento de uma notificação de que sua conta de hospedagem foi violada.

Portanto, a probabilidade de uma campanha de phishing segmentar usuários do GoDaddy é alta. Recomendamos que, nessas condições, os clientes do GoDaddy tomem cuidado ao clicar em links ou executar qualquer ação em um email para garantir que eles não acabem sendo vítimas de um ataque de phishing.

Existem algumas coisas importantes que você pode verificar para ver se é o alvo de um ataque de phishing:

  • Verifique o cabeçalho do email. Se a origem do email não vier de um domínio registrado do GoDaddy, provavelmente não veio do GoDaddy e é uma tentativa de phishing.
  • Procure uma grande quantidade de erros de digitação ou erros ortográficos no próprio conteúdo do email. Isso pode indicar a presença de um invasor. Os emails profissionais conterão erros de digitação ou erros de ortografia, se houver.
  • Palavreado modificado usado para assustar você a fornecer informações pessoais. O e-mail de divulgação de incidentes de segurança do GoDaddy não deve assustar você ou solicitar que você forneça qualquer informação. Deve simplesmente informar que você pode ter sido afetado por uma violação. Se você receber um email que parece estar assustando você para fornecer informações, pode ser uma tentativa de phishing.

Se você não conseguir verificar a fonte de um email ou sua legitimidade, é melhor ir diretamente ao site do GoDaddy e contatá-lo por meio de seus canais de suporte padrão. Isso permitirá que você verifique se sua conta está segura.

Este é um anúncio de serviço público da equipe do Wordfence Threat Intelligence. Estamos fornecendo isso como uma cortesia para nossos próprios clientes e para a comunidade maior do WordPress. Entre em contato diretamente com a GoDaddy se tiver dúvidas sobre a violação ou a segurança da sua conta. Se você tem amigos ou colegas que usam a hospedagem GoDaddy, sugerimos que você compartilhe esta postagem com eles para garantir que eles estejam cientes desse problema.

Obrigado ao engenheiro sênior de controle de qualidade do Wordfence, Ram Gall, por suas contribuições e pesquisas em conjunto para este post.

A publicação de 28.000 contas de hospedagem comprometida da GoDaddy apareceu primeiro no Wordfence.

Deixe seu Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.