Dot of Moon
VIP Members
-
17/10/2022
-
0
-
8 bài viết
GoDaddy bị đánh cắp mã nguồn và cài phần mềm độc hại trong nhiều năm
Dịch vụ lưu trữ dữ liệu web GoDaddy cho biết hãng đã bị đánh cắp mã nguồn mở và cài đặt phần mềm độc hại trên máy chủ sau khi cPanel bị rò rỉ lỗ hổng và tấn công trong nhiều năm.
Mặc dù GoDaddy đã phát hiện ra lỗ hổng sau khi được báo cáo vào đầu tháng 12 năm 2022 về việc trang web của hãng đang được sử dụng để chuyển hướng đến các miền ngẫu nhiên, tuy nhiên kẻ xấu vẫn truy cập vào mạng của công ty trong nhiều năm mà không có giải pháp nào ngăn chặn.
"Theo điều tra, chúng tôi cho rằng những sự cố này là một phần trong chiến dịch kéo dài nhiều năm của một nhóm tin tặc tinh vi, với kỹ thuật cao. Chúng đã cài đặt phần mềm độc hại vào hệ thống của chúng tôi và lấy được các đoạn mã liên quan đến một số dịch vụ trong GoDaddy."
Công ty còn cho biết các vi phạm trước đó được báo cáo vào tháng 11 năm 2021 và tháng 3 năm 2020 cũng có liên quan đến chiến dịch này.
Sự cố tháng 11 năm 2021 là một vụ rò rỉ dữ liệu ảnh hưởng đến 1,2 triệu khách hàng sau khi những kẻ tấn công xâm nhập môi trường lưu trữ WordPress của GoDaddy bằng mật khẩu đánh cắp được.
Chúng đã chiếm quyền truy cập vào địa chỉ email của tất cả khách hàng bị ảnh hưởng, mật khẩu quản trị viên WordPress, thông tin đăng nhập cơ sở dữ liệu và sFTP cũng như khóa riêng SSL của một bộ phận nhỏ khách hàng đang hoạt động.
Sau vụ vi phạm tháng 3 năm 2020, GoDaddy đã cảnh báo cho 28.000 khách hàng việc kẻ tấn công đã sử dụng thông tin đăng nhập tài khoản lưu trữ web tháng 10 năm 2019 để kết nối với tài khoản lưu trữ qua SSH.
GoDaddy hiện đang làm việc với các chuyên gia để điều tra nguyên nhân sâu xa của cuộc tấn công. Họ cũng tìm thấy bằng chứng bổ sung liên quan đến kẻ tấn công với một chiến dịch quy mô hơn nhắm vào các công ty lưu trữ khác trên thế giới trong nhiều năm.
"Theo thông tin chúng tôi đã nhận được, mục tiêu rõ ràng của chúng là lây nhiễm phần mềm độc hại vào các trang web và máy chủ, lây nhiễm phần mềm độc hại và thực hiện các hoạt động vi phạm khác."
Lời kết
Như anh em thấy thì dù GoDaddy là 1 công ty khá lớn nhưng cũng có những lỗ hổng mà gây ảnh hưởng lên đến triệu người dùng. Chính vì thế ta nên cập nhật những bản vá mới nhất để đảm bảo tính bảo mật và an toàn thông tin.
WhiteHat khuyên những ai đang đăng ký sử dụng dịch vụ của GoDaddy nên bảo mật và đổi mật khẩu quản trị để đảm bảo an toàn cho web cũng như những khách hàng đang hợp tác với bạn.
Mặc dù GoDaddy đã phát hiện ra lỗ hổng sau khi được báo cáo vào đầu tháng 12 năm 2022 về việc trang web của hãng đang được sử dụng để chuyển hướng đến các miền ngẫu nhiên, tuy nhiên kẻ xấu vẫn truy cập vào mạng của công ty trong nhiều năm mà không có giải pháp nào ngăn chặn.
"Theo điều tra, chúng tôi cho rằng những sự cố này là một phần trong chiến dịch kéo dài nhiều năm của một nhóm tin tặc tinh vi, với kỹ thuật cao. Chúng đã cài đặt phần mềm độc hại vào hệ thống của chúng tôi và lấy được các đoạn mã liên quan đến một số dịch vụ trong GoDaddy."
Công ty còn cho biết các vi phạm trước đó được báo cáo vào tháng 11 năm 2021 và tháng 3 năm 2020 cũng có liên quan đến chiến dịch này.
Sự cố tháng 11 năm 2021 là một vụ rò rỉ dữ liệu ảnh hưởng đến 1,2 triệu khách hàng sau khi những kẻ tấn công xâm nhập môi trường lưu trữ WordPress của GoDaddy bằng mật khẩu đánh cắp được.
Chúng đã chiếm quyền truy cập vào địa chỉ email của tất cả khách hàng bị ảnh hưởng, mật khẩu quản trị viên WordPress, thông tin đăng nhập cơ sở dữ liệu và sFTP cũng như khóa riêng SSL của một bộ phận nhỏ khách hàng đang hoạt động.
Sau vụ vi phạm tháng 3 năm 2020, GoDaddy đã cảnh báo cho 28.000 khách hàng việc kẻ tấn công đã sử dụng thông tin đăng nhập tài khoản lưu trữ web tháng 10 năm 2019 để kết nối với tài khoản lưu trữ qua SSH.
GoDaddy hiện đang làm việc với các chuyên gia để điều tra nguyên nhân sâu xa của cuộc tấn công. Họ cũng tìm thấy bằng chứng bổ sung liên quan đến kẻ tấn công với một chiến dịch quy mô hơn nhắm vào các công ty lưu trữ khác trên thế giới trong nhiều năm.
"Theo thông tin chúng tôi đã nhận được, mục tiêu rõ ràng của chúng là lây nhiễm phần mềm độc hại vào các trang web và máy chủ, lây nhiễm phần mềm độc hại và thực hiện các hoạt động vi phạm khác."
Lời kết
Như anh em thấy thì dù GoDaddy là 1 công ty khá lớn nhưng cũng có những lỗ hổng mà gây ảnh hưởng lên đến triệu người dùng. Chính vì thế ta nên cập nhật những bản vá mới nhất để đảm bảo tính bảo mật và an toàn thông tin.
WhiteHat khuyên những ai đang đăng ký sử dụng dịch vụ của GoDaddy nên bảo mật và đổi mật khẩu quản trị để đảm bảo an toàn cho web cũng như những khách hàng đang hợp tác với bạn.
Theo Bleeping Computer
Chỉnh sửa lần cuối bởi người điều hành: