Federal Ticaret Komisyonu (FTC), web barındırma devi GoDaddy’nin, barındırma hizmetlerini 2018’den bu yana saldırılara karşı güvence altına alamamasına ilişkin suçlamaları karşılamak için çok faktörlü kimlik doğrulama ve HTTPS API’leri gibi temel güvenlik korumalarını uygulamasını talep edecek.
FTC, Arizona merkezli şirketin makul güvenlik uygulamalarına ilişkin iddialarının aynı zamanda milyonlarca web barındırma müşterisini yanılttığını, çünkü GoDaddy’nin standart güvenlik araçlarını ve uygulamalarını uygulamadaki başarısızlığı nedeniyle “barındırma ortamındaki güvenlik açıklarına ve tehditlere karşı kör” olduğunu söyledi.
FTC Tüketiciyi Koruma Bürosu Direktörü Samuel Levine, “Milyonlarca şirket, özellikle de küçük işletmeler, kendilerinin ve müşterilerinin güvendiği web sitelerinin güvenliğini sağlamak için GoDaddy gibi web barındırma sağlayıcılarına güveniyor” dedi.
“FTC, GoDaddy gibi şirketlerin dünya çapındaki tüketicileri korumak amacıyla güvenlik sistemlerini güçlendirmesini sağlamak için bugün harekete geçiyor.”
FTC’nin şikayetine göre, GoDaddy’nin mantıksız güvenlik uygulamaları arasında çok faktörlü kimlik doğrulamayı (MFA) kullanmamak, yazılım güncellemelerini yönetmemek, güvenlikle ilgili olayları günlüğe kaydetmemek, ağını bölümlere ayırmak, güvenlik tehditlerini izlemek (aktif olarak birçok günlükten tehditleri tespit edin) ve dosya bütünlüğü izlemeyi kullanın.
Şirket ayrıca varlıkların envanterini çıkarma ve yönetme, web sitesi barındırma hizmetlerine yönelik riskleri değerlendirme ve tüketici verilerine erişim sağlayan hizmetlerle bağlantıları güvenli hale getirme konusunda da başarısız oldu.
Gevşek güvenlik uygulamaları birden fazla ihlale yol açtı
FTC, 2019 ile 2022 yılları arasında bu veri güvenliği başarısızlıklarının çok sayıda büyük güvenlik ihlaline yol açtığını ve bunun da tehdit aktörlerinin müşterilerin web sitelerine ve verilerine erişmesine yol açtığını söylüyor.
Örneğin, Şubat 2023’te barındırma devi, bilinmeyen saldırganların, cPanel paylaşılan barındırma ortamını çok yıllı bir ihlalle ihlal ettikten sonra kaynak kodunu çaldığını ve ele geçirilen sunuculara kötü amaçlı yazılım yüklediğini açıkladı.
Şirket, ihlali ancak Aralık 2022’nin başlarında, web sitelerinin bilinmeyen alanlara yönlendirmek için kullanıldığına dair müşteri şikayetleri aldıktan sonra keşfettiğini söyledi.
GoDaddy ayrıca Kasım 2021 ve Mart 2020’de açıklanan güvenlik ihlallerinin de bu kampanyayla bağlantılı olduğunu açıklamıştı.
Kasım 2021’deki ihlal 1,2 milyon Yönetilen WordPress müşterisini etkiledi. Saldırganlar, güvenliği ihlal edilmiş bir parola kullanarak GoDaddy’nin barındırma ortamına saldırdı ve bazı istemcilerden e-posta adresleri, WordPress Yönetici parolaları, sFTP ve veritabanı kimlik bilgileri ile SSL özel anahtarları elde etti.
Mart 2020’deki ihlalin ardından GoDaddy, 28.000 müşteriye, bir saldırganın Ekim 2019’da SSH aracılığıyla bağlanmak için web barındırma kimlik bilgilerini kullandığını bildirdi.
Önerilen uzlaşma emrine göre FTC, GoDaddy’nin sağlam bir bilgi güvenliği programı oluşturmasını gerektirecek ve şirketin güvenlik korumaları konusunda müşterileri yanıltmasını yasaklayacak. Karar ayrıca GoDaddy’nin bilgi güvenliği programının iki yılda bir incelemesini yürütmek üzere bağımsız bir üçüncü taraf değerlendirici tutmasını da zorunlu kılıyor.
Aralık ayında FTC, 2014 ve 2018 yıllarında büyük veri ihlallerine yol açan ve 340 milyondan fazla misafir kaydının açığa çıkmasına neden olan başarısızlıkların ardından Marriott International ve Starwood Hotels’e sağlam bir veri güvenliği programı uygulama talimatı verdi.
Marriott, Ekim 2014’te FTC ile anlaştı ve bu veri ihlalleriyle ilgili iddiaları çözüme kavuşturmak için 49 eyalete 52 milyon dolar ödemeyi kabul etti.