ABD Federal Ticaret Komisyonu (FTC), Web barındırma devi Godaddy’nin 2018’den bu yana birkaç veri ihlaline yol açan veri güvenliği arızalarının ücretlerini çözmesini sağlayan bir siparişi kesinleştirdi.
Ocak ayında ajans ayrıca, yaklaşık beş milyon müşterisi olan büyük bir web sitesi barındırma şirketi olan Godaddy’nin kullanıcıları güvenlik uygulamaları hakkında yanlış yönlendirdiğini iddia etti. FTC, Godaddy’nin standart güvenlik önlemlerinin eksikliği nedeniyle barındırma ortamındaki güvenlik açıklarından habersiz olduğunu buldu.
FTC’nin siparişi, şirketin müşterileri güvenlik korumaları hakkında yanıltıcı olmasını yasaklar ve GodAddy’yi sağlam bir bilgi güvenliği programı oluşturmayı, HTTPS veya diğer güvenli aktarım protokollerini kullanarak API’leri güvence altına almak ve bir yazılım ve ürün yazılımı güncelleme yönetim programı oluşturmayı zorunlu kılar.
Sipariş ayrıca, GodAddy’nin bilgi güvenliği programının bienal incelemelerini yapmak için bağımsız bir üçüncü taraf değerlendiricisi kiralamasını ve müşteri verilerinin 10 gün içinde maruz kaldığı, erişildiği veya çalındığı herhangi bir olayı rapor etmesini gerektirir.
Diğer gereksinimlerin yanı sıra, barındırma şirketi, tüm müşteriler, çalışanlar ve yüklenicilerin personeli için en az bir zorunlu MFA eklemelidir “, herhangi bir veritabanına bağlantı kurmak da dahil olmak üzere herhangi bir barındırma hizmeti destekleyici aracına veya varlığa” ve “müşterinin kimlik doğrulama uygulamalarını entegre ederek veya güvenlik anahtarının kullanımına izin vererek bir telefon numarası sağlamasını gerektirmeyen en az bir yöntem” eklemelidir.
Birden fazla ihlalin arkasındaki laks güvenlik uygulamaları
FTC’nin şikayetine göre, GodAddy’nin çok faktörlü kimlik doğrulaması (MFA), uygun yazılım güncelleme yönetimi ve güvenlik olaylarının günlüğe kaydedilmesinden yoksun güvenlik uygulamaları vardı. Ayrıca tehditleri izleyemedi, ağını segmentlere ayıramadı, dosya bütünlüğü izlemesini kullanamadı, varlıklarını takip edin ve yönetemedi, barındırma hizmetlerine yönelik riskleri değerlendirme veya tüketici verilerine hizmet bağlantılarını güvenli bir şekilde değerlendiremedi.
FTC, bu güvenlik başarısızlıklarının 2019 ve 2022 yılları arasında birkaç büyük güvenlik ihlaline yol açtığını ve bu da saldırganların müşterilerin verilerine ve web sitelerine erişmesine neden olduğunu söyledi. Örneğin, Şubat 2023’te Godaddy, bilinmeyen tehdit aktörlerinin tehlikeye atılan sunuculara kötü amaçlı yazılım kurduğunu ve CPanel paylaşılan barındırma ortamını çok yıllı bir ihlalde ihlal ettikten sonra kaynak kodunu çaldığını açıkladı.
Şirket, ancak müşteri şikayetlerini aldıktan sonra olayı keşfetti, ancak web sitelerinin bilinmeyen alanlara yönlendirilecek şekilde istismar edildiğini söyledi. Godaddy ayrıca Mart 2020 ve Kasım 2021’de açıklanan ihlallerin aynı kampanyayla bağlantılı olduğunu açıkladı.
Kasım 2021 ihlalinde, saldırganlar uzlaşmış bir şifre kullanarak Godaddy’nin barındırma ortamına hacklendi ve e -posta adreslerini, WordPress admin şifrelerini, SFTP ve veritabanı kimlik bilgilerini ve 1,2 milyon yönetilen WordPress müşterisinin SSL özel anahtarlarını çaldı. Mart 2020 ihlalinin ardından Godaddy, 28.000 müşteriye bir saldırganın Ekim 2019’da SSH üzerinden bağlantı kurmak için web barındırma kimlik bilgilerini kullandığını bildirdi.
Godaddy, FTC’nin önerilen bir yerleşim emri verdiği Ocak ayında BleepingComputer’a verdiği demeçte, “Güvenlik yeteneklerimizi sürekli olarak iyileştiriyoruz ve FTC ile uzlaşma anlaşmasında bir takım gereksinimleri zaten uyguladık. Özellikle bu konunun çözümü, hata kabulü ve parasal ceza içermiyor.”
Diyerek şöyle devam etti: “FTC ile anlaşma şartlarına uymakla ilgili asgari finansal etkinin beklediğini bekliyoruz. Gelişen tehditleri ele almak ve müşterilerimizi, web sitelerini ve verilerini güvende tutmaya yardımcı olmak için savunmamıza yatırım yapmaya devam etmeyi planlıyoruz.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.