Em novembro de 2021, a GoDaddy anunciou que um invasor desconhecido havia obtido acesso não autorizado ao sistema usado para servir seus sites WordPress gerenciados, afetando até 1,2 milhão de clientes do WordPress.
Observe que este número não inclui a quantidade de clientes em sites afetados por essa violação, e alguns clientes da GoDaddy possuem mais de um site em suas contas.
De acordo com o relatório [1], os invasores obtiveram acesso pela primeira vez em 6 de setembro de 2021 usando uma senha comprometida e foram descobertos com o bloqueio do acesso em 17 de novembro de 2021. Embora a empresa tenha tomado imediatamente medidas de mitigação, o invasor teve mais de dois meses para estabelecer persistência. Qualquer pessoa que utilize atualmente o produto WordPress gerenciado da GoDaddy deve presumir que houve comprometimento até que possa confirmar o contrário.
Parece que a GoDaddy armazenou as credenciais sFTP em texto claro ou em um formato que pode ser convertido em texto claro. Isso foi feito em vez de usar um hash com salt ou uma chave pública, considerados a melhor prática do setor para sFTP. Isso deu ao invasor acesso direto aos dados de acesso por senha sem precisar decifrá-los.
De acordo com seu registro junto à SEC, "nomes de usuário e senhas sFTP e de banco de dados foram fornecidos a clientes ativos".
A que o invasor teve acesso?
O registro junto à SEC revela que o invasor acessou os endereços de e-mail e os números de cliente dos usuários, a senha original de administrador do WordPress definida na implementação e as chaves SSL privadas. Tudo isso pode ser útil para um invasor, mas um ponto se destaca em particular:
De 6 de setembro de 2021 até 17 de novembro de 2021, o invasor acessou os nomes de usuário e senhas sFTP e de banco de dados dos clientes ativos.
A GoDaddy armazenou as senhas sFTP de forma que as versões em texto claro podem ser recuperadas, em vez de armazenar hashes com salt dessas senhas ou oferecer autenticação por chave pública, ambas consideradas melhores práticas do setor.
A GoDaddy parece confirmar que também armazenou as senhas de banco de dados em texto claro ou em um formato reversível. Estas também podem ser acessadas por meio da interface do usuário. Infelizmente, armazenar senhas de banco de dados em texto claro é comum em um ambiente WordPress, onde a senha é salva como texto no arquivo wp-config.php. O que é mais surpreendente nessa violação é que a senha que possibilita acesso de leitura/escrita a todo o sistema de arquivos via sFTP esteja armazenada em texto claro.
O que um invasor poderia fazer com essas informações?
Embora o registro junto à SEC destaque o potencial risco de phishing decorrente da exposição de endereços de e-mail e números de cliente, o risco associado é mínimo em comparação ao possível impacto das senhas sFTP e de banco de dados expostas.
Embora a GoDaddy tenha redefinido imediatamente as senhas sFTP e de banco de dados de todos os sites afetados, o invasor teve acesso por quase um mês para assumir o controle desses sites enviando malware ou adicionando um administrador malicioso. Isso permitiria ao invasor manter a persistência e controlar os sites mesmo após a alteração das senhas.
Além disso, com o acesso ao banco de dados, o invasor teria acesso a informações sensíveis, incluindo dados pessoais de clientes do site armazenados nos bancos de dados dos sites afetados, e possivelmente poderia extrair completamente o conteúdo de todos os bancos de dados afetados. Isso inclui informações como os hashes de senha armazenados nos bancos de dados de contas de usuário do WordPress dos sites em questão, bem como informações de clientes provenientes de sites de e-commerce.
Um invasor poderia, de forma semelhante, obter controle de sites que não alteraram sua senha de administrador padrão, mas seria mais fácil para ele usar seu acesso sFTP e ao banco de dados para fazê-lo com facilidade.
Em páginas onde a chave SSL privada foi divulgada, um invasor poderia descriptografar o tráfego de dados com a chave SSL privada roubada caso conseguisse executar com sucesso um ataque do tipo Man-in-the-Middle no tráfego criptografado entre um visitante do site e uma entidade afetada.
O que devo fazer se tenho um site gerenciado da GoDaddy?
A GoDaddy entrará em contato com os clientes afetados nos próximos dias. Enquanto isso, dada a gravidade do problema e os dados aos quais o invasor teve acesso, recomendamos que todos os usuários do WordPress gerenciado presumam que foram comprometidos e adotem as seguintes medidas:
Se você administra um site de e-commerce ou possui informações pessoais e a GoDaddy verificou que houve violação, talvez seja necessário notificar seus clientes sobre a mesma.
Informe-se sobre os requisitos regulatórios em sua jurisdição e certifique-se de cumpri-los.
Altere suas senhas do WordPress e, se possível, force a redefinição de senha para seus usuários ou clientes do WordPress.
Como o invasor teve acesso aos hashes de senha em cada banco de dados WordPress afetado, ele poderia potencialmente quebrar essas senhas e usá-las nos sites afetados.
Altere todas as senhas reutilizadas e oriente seus usuários ou clientes a fazerem o mesmo.
O invasor poderia usar credenciais extraídas de sites afetados para acessar outros serviços com a mesma senha. Por exemplo, se um de seus clientes utiliza o mesmo endereço de e-mail e a mesma senha em seu site e na conta do Gmail, o invasor poderia comprometer o Gmail desse cliente assim que decifrasse a senha dele.
Se possível, ative a autenticação de dois fatores.
O plugin WordFence [2] oferece isso como um recurso gratuito para sites WordPress, e a maioria dos demais serviços disponibiliza uma opção de autenticação de dois fatores.
Verifique seu site em busca de contas de administrador não autorizadas.
Verifique seu site em busca de malware usando um scanner de segurança.
Verifique o sistema de arquivos do seu site, incluindo wp-content/plugins e wp-content/mu-plugins, em busca de plugins inesperados ou plugins que não aparecem no menu de plugins, pois é possível usar plugins legítimos para manter acesso não autorizado.
Fique atento a e-mails de phishing com aparência suspeita. Um invasor ainda poderia usar e-mails e números de cliente extraídos para obter informações sensíveis adicionais das vítimas desse comprometimento.
Resumo
A violação de dados do GoDaddy Managed WordPress provavelmente terá consequências de longo alcance. A oferta Managed WordPress da GoDaddy representa uma parcela significativa do ecossistema WordPress, afetando tanto os proprietários dos sites quanto seus clientes. O registro junto à SEC afirma que foram envolvidos "até 1,2 milhão de clientes Managed WordPress ativos e inativos". Os clientes desses sites também são, muito provavelmente, afetados, tornando o número de pessoas atingidas muito maior.
Por enquanto, qualquer pessoa que utilize a oferta Managed WordPress da GoDaddy deve presumir que seus sites foram comprometidos até que mais informações estejam disponíveis e seguir as etapas que fornecemos neste artigo. Atualizaremos o artigo caso surjam mais informações.
Fontes:
Relatório da GoDaddy à SEC: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence:
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Observação: Todos os logotipos, nomes de produtos e marcas comerciais são propriedade de seus respectivos donos nos Estados Unidos e/ou em outros países. Todos os nomes de empresa, produto e serviço utilizados nesta página são apenas para fins de identificação. O uso desses nomes, logotipos e marcas comerciais não implica endosso.
