El gigante de la web, GoDaddy, acaba de informar de una violación de datos al estado de California.
La carta de infracción que ahora forma parte del registro público, es sólo una plantilla, con espacios en blanco para el nombre del destinatario y para un número de teléfono relevante para cada región, pero establece lo que se conoce hasta ahora.
Si eres un cliente de GoDaddy, sabrás si estas en la lista de cuentas afectadas si recibes un mensaje como este:
Asunto: Incidente de seguridad que afecta a su cuenta de alojamiento web de GoDaddy
[…]
Necesitamos informarle de un incidente de seguridad que afecta a las credenciales de su cuenta de alojamiento web GoDaddy. Recientemente identificamos actividad sospechosa en un subconjunto de nuestros servidores e inmediatamente comenzamos una investigación.
La investigación encontró que un individuo no autorizado tuvo acceso a su información de acceso usada para conectarse al SSH de su cuenta de alojamiento. No tenemos pruebas de que se haya añadido o modificado ningún archivo en su cuenta. El individuo no autorizado ha sido bloqueado en nuestros sistemas, y continuamos investigando el impacto potencial en nuestro entorno.
Hay más, incluyendo una advertencia de que la información de tu cuenta fue restablecida y cómo regresar a tu cuenta, pero desde un punto de vista técnico (lo que realmente sucedió y cómo se detectó la violación) sólo disponemos del texto anterior.
Está claro que no se trata sólo de un caso de relleno de credenciales (credential stuffing), en el que se accedió a las cuentas porque sus contraseñas eran las mismas que las utilizadas en otros servicios que ya habían sido atacados, o GoDaddy no habría presentado una notificación de este incidente.
Además, lo que no se desprende claramente de la carta de infracción (aunque se indica en el sitio web del Estado de California), es que la infracción se remonta a octubre de 2019.
En otras palabras, aunque reiniciar su cuenta en esta etapa era algo que GoDaddy tenía que hacer, cualquier ciberdelincuente que conociera sus datos de acceso podría, en teoría, haber estado hurgando entre sus cosas durante más de seis meses.
Es por eso que GoDaddy también “recomienda que realice una auditoría de su cuenta de alojamiento”.
Esto debería incluir la búsqueda en los registros de modificaciones que no esperabas, especialmente cambios o adiciones de archivos como scripts PHP, páginas HTML, JavaScripts y plugins de servidor.
(Cuando estás haciendo una auditoría por una razón, también podrías estar atento a problemas que podrían haber surgido por otras razones – como software sin parches u opciones de servidor incorrectamente configuradas).
Lo que no podemos decir es cómo la “persona no autorizada” mencionada anteriormente tuvo acceso a los datos ilícitos, qué implica realmente esa “información de acceso” y qué tipo de acceso efectuaron realmente, si lo hubo.
Asumimos que la sugerencia de GoDaddy de que no se “agregaron o modificaron” archivos es razonable, por poco que se sepa en esta etapa de la investigación, sospechamos que las alteraciones ilícitas habrían sido detectables de alguna manera, en algún lugar de los registros de la empresa.
No sabemos cuántos archivos, si es que hay alguno, el intruso fue capaz de hojear y tal vez incluso de copiar, pero estamos asumiendo que GoDaddy puede tener más información que revelar en el futuro.
Averiguar todas las cosas que podrían haber ocurrido pero no lo hicieron es a menudo la parte más difícil de cualquier seguimiento, y la investigación de GoDaddy sigue en marcha.
¿Y ahora qué?
GoDaddy está ofreciendo a los clientes afectados acceso a algunos de sus servicios adicionales de forma gratuita, a saber, los productos que llama Website Security Deluxe y Express Malware Removal.
Puedes probarlos: puede que descubras que encuentran problemas que de otro modo no habrías detectado, como plugins de servidores web muy anticuados o software que has olvidado parchear.
Dejar un comentario