Güvenlik Operasyonları, Standartlar, Düzenlemeler ve Uyumluluk
Bilgisayar Korsanları GoDaddy’nin Web Barındırma Ortamını Defalarca Ele Geçirdi
David Perera (@daveperera) •
15 Ocak 2025
İnternet kayıt şirketi ve web sunucusu GoDaddy, ABD Federal Ticaret Komisyonu ile Çarşamba günü yapılan anlaşmada siber güvenlik uygulamalarına ilişkin yirmi yıllık üçüncü taraf değerlendirmelerini kabul etti.
Ayrıca bakınız: Netskope PCI DSS 4.0 Eşleme Kılavuzu
Arizona şirketi yaklaşık beş milyon web sitesine ev sahipliği yapıyor; bu siteler, FTC’nin yetersiz güvenlik uygulamalarına atfettiği yıllar süren bilgisayar korsanlığı kampanyası boyunca sürekli olarak tehlikeye girme riskiyle karşı karşıyadır. GoDaddy’nin kurum başına yapmadığı şeyler arasında: güvenlik olaylarını günlüğe kaydetmek, çok faktörlü kimlik doğrulama uygulamak, yamaları tutarlı bir şekilde uygulamak veya bilgi işlem varlıklarının doğru bir envanterine sahip olmak. Bir noktada, destek tarihi geçmiş 30.000 sunucu hâlâ web sitelerini barındırıyordu. Ajans, bu sayının 2019 sonbaharındaki zirveden bu yana azalmasına rağmen GoDaddy’nin kullanım ömrü sonu sunuculara güvenmeye devam ettiğini söyledi.
Halka açık şirket, Şubat 2023’te, FTC’nin 2019’da başladığını ve 2022’ye kadar sürdüğünü söylediği bir dizi bilgisayar korsanlığı olayını “karmaşık bir tehdit aktörü grubuna” bağladı. Şirket, bilgisayar korsanlarının görünen hedefinin “kimlik avı kampanyaları, kötü amaçlı yazılım dağıtımı ve diğer kötü amaçlı faaliyetler için web sitelerine ve sunuculara kötü amaçlı yazılım bulaştırmak” olduğunu söyledi (bkz: 3 Yıllık İhlaller İçin GoDaddy Parmak Hackleme Kampanyası).
E-postayla gönderilen bir açıklamada, bir şirket sözcüsü, anlaşmanın “minimum mali etkiye” sahip olması gerektiğini ve GoDaddy’nin “uzlaşma anlaşmasında belirtilen bazı gereklilikleri zaten uyguladığını” söyledi. Anlaşma, onay emirlerinde olduğu gibi GoDaddy tarafının hatayı kabul etmesini gerektirmez. Şirket üçüncü çeyreğini, önceki dokuz aya göre 3,4 milyar dolar gelirle tamamladı; bu, 2023’ün aynı dönemine göre %7,2 artış gösterdi.
FTC idari şikayeti, hackerların şirketin barındırılan WordPress ortamı ve cPanel hizmeti üzerindeki uzlaşmalarını ayrıntılarıyla anlatıyor.
Kasım 2021’de müşteri şikayetlerindeki ani artış, GoDaddy’ye bir tehdit aktörünün şirket kodlu bir API’ye eriştiği konusunda uyarıda bulunarak müşteri hizmetleri personelinin, web sitelerinin arka uç veritabanı ve dosyası için oturum açma bilgileri de dahil olmak üzere özel şifreleme anahtarları ve kimlik bilgileri gibi müşterilerle ilgili bilgileri almasına olanak sağladı. dosyaları barındırma ortamına yüklemek için kullanılan aktarım protokolü örnekleri. FTC, bilgisayar korsanlarının 1,2 milyon müşteri hesabının API’sini sorgulamak için daha önce ele geçirilen kimlik bilgilerini kullandığını söyledi. Bu olayın görünen amacı, üçüncü taraf sitelerin arama motoru sıralamalarını yapay olarak yükseltmek için tıklama sahtekarlığı amacıyla güvenliği ihlal edilmiş web sitelerine web kabukları yüklemekti.
Nisan 2020’de dışarıdan bir güvenlik firması, bilgisayar korsanlarının altı ay önce barındırma ortamına sızdığını ve müşterilerin oturum açma bilgilerini kaydetmek için cPanel dosyalarının kötü amaçlı sürümlerini geride bıraktığını ayrı ayrı keşfetti. Bilgisayar korsanları yaklaşık 28.000 müşteri ve 199 çalışanın güvenli kabuk protokolü kimlik bilgilerini ele geçirmeyi başardı. GoDaddy, SSH kabuklarına erişim için çok faktörlü kimlik doğrulamayı zorunlu kılmadığı için saldırganlar barındırma ortamında yönetimsel değişiklikler yapabildi.
Şikayette ayrıntılı olarak belirtildiği gibi, GoDaddy kötü amaçlı cPanel dosyalarını ortadan kaldırmaya başladığında, bilgisayar korsanları, sunucu trafiğini ödeme kartı verileri için tarayan dosyaları yerleştirmek için taktik değiştirdiler ve sonuçta yaklaşık bin kart numarasını ele geçirdiler.
Görünüşe göre aynı tehdit aktörü, şirketin kötü amaçlı cPanel dosyalarını tamamen ortadan kaldırmadığını keşfettikten sonra Aralık 2022’de GoDaddy barındırma ortamına geri döndü. Bilgisayar korsanları, bazı müşteri web sitelerine giden trafiği pornografiye veya telif hakkı ihlali iddiasında bulunan korkutma sitelerine yönlendirmek için yeni çalınan SSH kimlik bilgilerini kullandı.
Bilgisayar korsanları, barındırma ortamına ilk olarak Ekim 2019’da muhtemelen bir müşteri tarafından yama yapılmadan bırakılan bir güvenlik açığından yararlanarak erişim sağladı. Tehdit aktörü, müşteri ile GoDaddy alan adlarını birbirine bağlayan bir sunucu aracılığıyla kurumsal barındırma ortamına geçmeyi başardı. Şirketin bu tür 254 sunucuya sahip olduğu ve bunların üçte birinin bilinen güvenlik açıklarını içerdiği daha sonraki bir araştırmada ortaya çıktı. GoDaddy, Mart 2020’de GoDaddy ön sayfasının çökmesine neden olan muhtemelen ilgili bir olayın ardından dışarıdan bir güvenlik firmasını işe aldı.
Rıza anlaşması, oybirliğiyle kabul yönünde oy kullanan FTC komisyon üyelerinin son turuna tabi olacak. Bir sonraki oylama turu, 30 günlük kamuoyu yorumunun ardından gerçekleşecek.