New GoDaddy data breach impacted 1.2 million customers
2021/11/22 SecurityAffairs — GoDaddy が公表したデータ侵害のインシデントは、最大で 120万人の顧客に影響を与えるという。脅威アクターたちが、同社のマネージド WordPress ホスティング環境に侵入しことで、このインシデントは起こった。脅威アクターは、2021年9月6日ころから、同社のネットワークを侵害していたが、このセキュリティ侵害が発見されたのは 11月17日だった。
GoDaddy の Chief Information Security Officer である Demetrius Comes は、「2021年11月17日に、当社のマネージド WordPress ホスティング環境への、第三者による不正アクセスを発見した。この環境における不審な活動を確認した後に、直ちに IT フォレンジック会社の協力を得て調査を開始し、法執行機関に連絡した。漏洩したパスワードを使用して、権限のない第三者が、当社の Managed WordPress 用レガシーコードベースのプロビジョニング・システムにアクセスしてきた」と述べている。
この侵入を確認すると、同社は直ちに、不正な第三者をシステムから締めだした。今回の調査の結果、攻撃者は脆弱性を悪用して、以下の顧客情報にアクセスしたことが判明した。
- Managed WordPress における最大で120万人のユーザーの、アクティブおよび非アクティブの顧客のメール・アドレスと顧客番号が流出した。メール・アドレスが公開されたことで、フィッシング攻撃を受ける危険性が生じる。
- プロビジョニング時に設定された、オリジナルの WordPress 管理者パスワードが公開された。それらの認証情報が、依然として使用されているケースでは、パスワードをリセットした。
- アクティブな顧客場合は、SFTP (SSH File Transfer Protocol) およびデータベースのユーザー名/パスワードが公開された。両方のパスワードをリセットした。
- 一部のアクティブな顧客の場合、SSL 秘密鍵が流出した。これらの顧客に対しては、新しい証明書を発行し、インストールの作業を行っている。
調査は現在も継続中で、影響を受けた顧客に対しては通知を行い続けている。攻撃者は、漏洩したパスワードを使って、上記の GoDaddy の顧客情報にアクセスした可能性がある。
GoDaddy が被ったデータ侵害は、今回が初めてではない。同社は 2020年5月にも、ユーザーの Web ホスティングア・カウントの認証情報を、攻撃者が侵害したことを明らかにしている。このホスティング・プロバイダーは、カリフォルニア州司法長官にデータ侵害の通知を提出し、侵入が 2019年10月に行われたことを明らかにしている。
この記事だけだと、攻撃ベクターに関する情報がなく、いちばん知りたいことが分かりません。以前に「アプリケーションに含まれる Third-Party ライブラリの 79% が更新されていない?」という記事をポストしていますが、オープンソースでは、さまざまな脆弱性の入れ子があるので、たいへんな状況にあるのだろうと推測しています。よろしければ、カテゴリ OpenSource を ご参照ください。
IoT OT Security News 