Alan adı kayıt kuruluşunda alan adı bulunan en az bir düzine kuruluş Kare alan geçen hafta web sitelerinin ele geçirildiğini gördü. Squarespace, tüm varlıklarını satın aldı Google Alan Adları bir yıl önce, ancak birçok müşteri hala yeni hesaplarını kurmadı. Uzmanlar, kötü niyetli bilgisayar korsanlarının, yalnızca mevcut bir etki alanına bağlı bir e-posta adresi sağlayarak henüz kaydedilmemiş olan herhangi bir taşınmış Squarespace hesabını ele geçirebileceklerini öğrendiklerini söylüyor.
Geçtiğimiz hafta sonuna kadar Squarespace’in web sitesinde e-posta yoluyla giriş yapma seçeneği vardı.
9 Temmuz ile 12 Temmuz arasında gerçekleşen Squarespace alan adı ele geçirmelerinin çoğunlukla kripto para birimi işletmelerini hedef aldığı görülüyor. Celer Ağı, Bileşik Finans, Pendle Finansve Unstoppable Domains. Bazı durumlarda, saldırganlar ele geçirilen alan adlarını ziyaretçilerin kripto para fonlarını çalmak için kurulmuş kimlik avı sitelerine yönlendirebildiler.
New York City merkezli Squarespace, Haziran 2023’te Google Domains’den yaklaşık 10 milyon alan adı satın aldı ve o zamandan beri bu alan adlarını kademeli olarak kendi hizmetine taşıyor. Squarespace yorum talebine yanıt vermedi veya saldırılar hakkında bir açıklama yapmadı.
Ancak Metamask ve Paradigm’deki güvenlik uzmanları tarafından yayınlanan bir analiz, yaşananların en olası açıklamasının Squarespace’in Google Domains’den geçiş yapan tüm kullanıcıların “E-postayla devam et” seçeneği yerine “Google ile devam et” veya “Apple ile devam et” gibi sosyal oturum açma seçeneklerini seçeceğini varsayması olduğunu buldu.
Taylor MonahanMetamask’ta ürün yöneticisi olarak görev yapan , Squarespace’in, yakın zamanda taşınmış bir etki alanıyla ilişkili bir e-postayı kullanarak bir hesap için kaydolabilecek bir tehdit aktörünün, meşru e-posta sahibinin kendisi hesabı oluşturmadan önce bunu hesaba katmadığını söyledi.
Monahan, KrebsOnSecurity’ye “Bu nedenle aslında hiçbir şey onları bir e-postayla oturum açmaya çalışmaktan alıkoyamıyor,” dedi. “Ve hesapta bir parola olmadığından, onları sadece ‘yeni hesabınız için parola oluşturun’ akışına yönlendiriyor. Ve hesap arka uçta yarı başlatıldığı için, artık söz konusu etki alanına erişebiliyorlar.”
Son 24 saat içinde bir ara, Squarespace insanların yalnızca bir e-posta adresiyle hesap oluşturma yeteneğini kaldırdı. Bu seçenek, KrebsOnSecurity’nin Cumartesi günü bir test Squarespace hesabı oluşturmasıyla mevcuttu (Squarespace’in bu kayıttan bir onay e-postası gönderip göndermediği belirsiz, ancak ben hala almadım).
Monahan ayrıca Squarespace’in şifreyle oluşturulan yeni hesaplar için e-posta doğrulaması gerektirmediğini söyledi.
Monahan, “Google’dan Squarespace’e taşınan alan adları biliniyor,” dedi. “Bu, bir alan adının yöneticisi olan e-posta adreslerinin herkese açık veya kolayca ayırt edilebilir bilgileridir. Ve eğer bu e-posta Squarespace’te hesaplarını hiç kurmazsa – diyelim ki fatura yöneticisi beş yıl önce şirketten ayrıldığı için veya insanlar e-postayı görmezden geldiği için – Squarespace formuna o email@domain’i giren herkes artık alan adına tam erişime sahip olur.”
Araştırmacılar, saldırganların etki alanına bağlı daha az ayrıcalıklı kullanıcı hesaplarına ait e-posta adreslerini keşfetmeleri durumunda, taşınan bazı Squarespace etki alanlarının da ele geçirilebileceğini söylüyor. Örneğin, “etki alanı yöneticisi” gibi, bir etki alanını aktarma veya farklı bir İnternet adresine yönlendirme yeteneğine sahip.
Squarespace, alan adı sahiplerinin ve alan adı yöneticilerinin, bir alan adını taşıma veya sitenin alan adı sunucusu (DNS) ayarlarını yönetme yeteneği de dahil olmak üzere birçok aynı ayrıcalığa sahip olduğunu söylüyor.
Monahan, göçün alan adı sahiplerine hesaplarını güvence altına alma ve izleme konusunda daha az seçenek bıraktığını söyledi.
Monahan, “Squarespace, hesaplarında veya etki alanlarında gerçekleştirilen etkinlik hakkında herhangi bir kontrol veya içgörüye ihtiyaç duyan kullanıcıları destekleyemez,” dedi. “Temel olarak farklı kişilerin sahip olduğu erişim üzerinde hiçbir kontrolünüz yok. Hiçbir denetim kaydınız yok. Bazı eylemler için e-posta bildirimleri almıyorsunuz. Sahip, bir ‘etki alanı yöneticisi’ tarafından gerçekleştirilen eylemler için e-posta bildirimi almıyor. Google’ın sağladığı kontrollere alışkınsanız ve bunları bekliyorsanız bu kesinlikle çılgınlık.”
Araştırmacılar, Squarespace kullanıcı hesaplarının kilitlenmesine yönelik kapsamlı bir kılavuz yayınladı ve bu kılavuzda Squarespace kullanıcılarının çok faktörlü kimlik doğrulamayı etkinleştirmeleri (göç sırasında devre dışı bırakıldı) isteniyor.
Yardım kılavuzu, “Yeni Squarespace hesabınıza hangi e-postaların erişebileceğini belirlemek 1. adımdır” diye tavsiyede bulunuyor. “Çoğu ekip bu hesapların var olduğunun farkında bile değil, teorik olarak erişimleri olduğunun hiç farkında değil.”
Kılavuzda ayrıca gereksiz Squarespace kullanıcı hesaplarının kaldırılması ve Google Workspace’te bayi erişiminin devre dışı bırakılması öneriliyor.
Yardım dokümanında, “Google Workspace’i Google Domains üzerinden satın aldıysanız, Squarespace artık yetkili satıcınızdır,” açıklaması yer alıyor. “Bu, Squarespace hesabınıza erişimi olan herkesin, burada verilen talimatları izleyerek açıkça devre dışı bırakmadığınız sürece Google Workspace’inize bir arka kapıya sahip olduğu anlamına gelir. Bunu yapmalısınız. İki hesabı güvence altına almaktansa bir hesabı güvence altına almak daha kolaydır.”