Comisia Federală pentru Comerț (FTC) va cere gigantului de hosting web GoDaddy să implementeze protecții de securitate de bază, inclusiv API-uri HTTPS și autentificare obligatorie în două pași, pentru a rezolva acuzațiile conform cărora a eșuat în securizarea serviciilor sale de hosting împotriva atacurilor începând din 2018.
FTC susține că afirmațiile companiei cu sediul în Arizona privind practicile de securitate rezonabile au indus în eroare milioane de clienți de web hosting deoarece GoDaddy a fost „orb la vulnerabilitățile și amenințările din mediul său de hosting” din cauza faptului că nu a implementat instrumente și practici de securitate standard.
„Milioane de companii, în special mici afaceri, se bazează pe furnizorii de web hosting precum GoDaddy pentru a-și securiza site-urile web de care ei și clienții lor depind”, a declarat Samuel Levine, Director al Biroului de Protecție a Consumatorilor al FTC.
„FTC acționează astăzi pentru a se asigura că companii precum GoDaddy își întăresc sistemele de securitate pentru a proteja consumatorii din întreaga lume.”
Potrivit plângerii FTC, practicile nerezonabile de securitate ale GoDaddy au inclus eșuarea în utilizarea autentificării în două pași (MFA), gestionarea actualizărilor de software, înregistrarea evenimentelor legate de securitate, segmentarea rețelei sale, monitorizarea amenințărilor la securitate (inclusiv prin eșuarea în utilizarea unui software care ar putea detecta activ amenințările din numeroasele sale jurnale), și utilizarea monitorizării integrității fișierelor.
Compania a eșuat de asemenea în inventarierea și gestionarea activelor, evaluarea riscurilor pentru serviciile sale de hosting de site-uri web și securizarea conexiunilor către serviciile care furnizează acces la datele consumatorilor.
FTC afirmă că, între 2019 și 2022, aceste eșecuri în securitatea datelor au condus la mai multe încălcări majore de securitate, rezultând în ca actorii de amenințare să obțină acces la site-urile web și datele clienților.
De exemplu, în februarie 2023, gigantul de hosting a dezvăluit că atacatori necunoscuți au furat codul sursă și au instalat malware pe serverele compromise după ce au spart mediul său de hosting partajat cPanel într-o încălcare care a durat mai mulți ani.
Compania a declarat că a descoperit încălcarea abia la începutul lunii decembrie 2022 după ce a primit plângeri de la clienți că site-urile lor erau folosite pentru a redirecționa către domenii necunoscute.
GoDaddy a dezvăluit de asemenea la acea vreme că încălcările de securitate dezvăluite în noiembrie 2021 și martie 2020 au fost de asemenea legate de această campanie.
În noiembrie 2021, o încălcare a afectat 1,2 milioane de clienți Managed WordPress. Atacatorii au spart mediul de hosting al GoDaddy folosind o parolă compromisă și au obținut adrese de e-mail, parole de administrator WordPress, chei de sFTP și de acces la baze de date, precum și chei private SSL de la unii clienți.
În urma încălcării din martie 2020, GoDaddy a notificat 28.000 de clienți că un atacator a folosit credențialele lor de web hosting pentru a se conecta prin SSH în octombrie 2019.
Potrivit unei ordini de soluționare propuse, FTC va cere GoDaddy să stabilească un program robust de securitate a informațiilor și interzice companiei să inducă în eroare clienții cu privire la protecțiile sale de securitate. Ordinul impune, de asemenea, ca GoDaddy să angajeze un evaluator independent terț pentru a efectua revizuiri bienale ale programului său de securitate a informațiilor.
Compania este de asemenea obligată să adauge autentificare în două pași obligatorie pentru toți clienții, angajații și personalul contractorilor „pentru orice serviciu de hosting care suportă unelte sau active, inclusiv conectarea la orice bază de date” și „cel puțin o metodă care nu necesită de la client să furnizeze un număr de telefon, cum ar fi integrarea aplicațiilor de autentificare sau permiterea utilizării cheilor de securitate.”
În decembrie, FTC a ordonat și Marriott International și Starwood Hotels să implementeze un program robust de securitate a datelor în urma eșecurilor care au condus la încălcări masive de date în 2014 și 2018, expunând peste 340 de milioane de înregistrări ale oaspeților.
Marriott a convenit cu FTC-ul în octombrie 2014 și a fost de acord să plătească 52 de milioane de dolari către 49 de state pentru a soluționa reclamațiile legate de aceste încălcări de date.
Actualizare 16 ianuarie, 14:34 EST: Articolul revizuit pentru a include cerințele obligatorii de MFA.
Actualizare 17 ianuarie, 08:28 EST: GoDaddy a trimis următoarea declarație după publicarea articolului:
GoDaddy are o lungă istorie de oferire a produselor inovatoare clienților săi de web hosting. Suntem concentrați pe protejarea datelor și site-urilor clienților noștri și investim resurse semnificative în tehnologii, unelte și talente pentru a ajuta la protejarea sistemelor și informațiilor. Îmbunătățim constant capacitățile noastre de securitate și am implementat deja o serie de cerințe din acordul de soluționare cu FTC. În mod deosebit, rezolvarea acestei probleme nu implică nici o recunoaștere a vinovăției și nici penalități financiare. Ne așteptăm la un impact financiar minim asociat cu respectarea termenilor acordului cu FTC. Planificăm să continuăm să investim în apărarea noastră pentru a face față amenințărilor în evoluție și pentru a ajuta la menținerea în siguranță a clienților noștri, a site-urilor lor și a datelor lor.
Leave a Reply