Il s’agit d’une annonce de service public (PSA) de l’équipe Wordfence concernant un problème de sécurité qui peut affecter certains de nos clients. Le 4 mai 2020, GoDaddy, l’un des plus grands fournisseurs d’hébergement de sites Web au monde, a révélé que les informations d’identification SSH d’environ 28 000 comptes d’hébergement GoDaddy avaient été compromises par un attaquant non autorisé.

SSH, bien qu’extrêmement sécurisé s’il est configuré correctement, peut autoriser les connexions avec une combinaison nom d’utilisateur / mot de passe, ou un nom d’utilisateur et une paire de clés publique / privée. Dans le cas de cette violation, il semble probable qu’un attaquant ait placé sa clé publique sur les comptes concernés afin de pouvoir conserver l’accès même si le mot de passe du compte a été modifié.

On ne sait pas quels packages d’hébergement de GoDaddy ont été affectés par cette violation. Selon GoDaddy, déclaration publique:

«Le 23 avril 2020, nous avons identifié que les noms d’utilisateur et les mots de passe SSH avaient été compromis par une personne non autorisée dans notre environnement d’hébergement. Cela a touché environ 28 000 clients. Nous avons immédiatement réinitialisé ces noms d’utilisateur et mots de passe, supprimé un fichier SSH autorisé de notre plateforme et nous n’avons aucune indication que la personne a utilisé les informations d’identification de nos clients ou modifié des comptes d’hébergement client. L’individu n’avait pas accès aux principaux comptes GoDaddy des clients. “

La violation elle-même semble s’être produite le 19 octobre 2019.

Que devrais-je faire?

Action immédiate

Si vous avez été touché par cette violation et que vous n’avez pas déjà été averti par GoDaddy, vous en serez probablement informé dans un proche avenir.

GoDaddy indique qu’ils ont mis à jour les mots de passe du compte et supprimé la clé publique de l’attaquant. Bien que cela devrait empêcher l’attaquant d’accéder aux sites impactés via SSH, nous vous recommandons fortement de modifier le mot de passe de la base de données de votre site, car cela pourrait facilement être compromis par un attaquant sans modifier le compte.

Les informations d’identification de base de données compromises pourraient être utilisées pour prendre le contrôle d’un site WordPress si les connexions à base de données distantes sont activées, ce que GoDaddy autorise sur bon nombre de ses comptes d’hébergement. Vous pouvez également souhaiter vérifier votre site pour les utilisateurs administratifs non autorisés, car ceux-ci pourraient avoir été créés sans modifier aucun fichier sur le site.

Restez vigilant

De telles violations peuvent créer une cible de choix pour les attaquants qui utilisent Hameçonnage campagnes pour infecter les utilisateurs.

Le phishing, par définition générale, est une attaque par laquelle un attaquant créera un e-mail qui semble provenir d’une source légitime, mais qui vise à obtenir des informations sensibles d’un utilisateur sans méfiance. Bien que seulement 28 000 comptes d’hébergement semblent avoir été affectés, on estime que des millions de sites sont hébergés par GoDaddy. Cela signifie qu’il y a des millions d’utilisateurs qui pourraient craindre de recevoir une notification de violation de leur compte d’hébergement.

Par conséquent, la probabilité d’une campagne de phishing ciblant les utilisateurs de GoDaddy est élevée. Nous recommandons que dans ces conditions, les clients GoDaddy prennent soin, lorsqu’ils cliquent sur des liens ou exécutent des actions dans un e-mail, de s’assurer qu’ils ne deviennent pas la victime d’une attaque de phishing.

Il y a quelques éléments clés que vous pouvez vérifier pour voir si vous êtes la cible d’une attaque de phishing:

  • Vérifiez l’en-tête de l’e-mail. Si la source de l’e-mail ne provient pas d’un domaine GoDaddy enregistré, il ne provient probablement pas de GoDaddy et constitue une tentative de phishing.
  • Recherchez une grande quantité de fautes de frappe ou d’orthographe dans le contenu de l’e-mail lui-même. Cela peut indiquer la présence d’un attaquant. Les e-mails professionnels contiendront des fautes de frappe ou des fautes d’orthographe minimales, le cas échéant.
  • Verbiage modifié utilisé pour vous effrayer en fournissant des informations personnelles. L’e-mail de divulgation de l’incident de sécurité de GoDaddy ne devrait pas vous effrayer ni vous demander de fournir des informations. Il devrait simplement vous informer que vous avez peut-être été touché par une violation. Si vous recevez un e-mail qui semble vous effrayer en fournissant des informations, il peut s’agir d’une tentative de phishing.

Si vous ne pouvez pas vérifier la source d’un e-mail ou sa légitimité, il est préférable d’aller directement sur le site GoDaddy et de les contacter via leurs canaux de support standard. Cela vous permettra de vérifier que votre compte est sécurisé.

Il s’agit d’une annonce de service public de l’équipe Wordfence Threat Intelligence. Nous fournissons cela à titre de courtoisie à nos propres clients et à la plus grande communauté WordPress. S’il vous plaît contactez Allez papa directement si vous avez des questions sur la violation ou sur la sécurité de votre compte. Si vous avez des amis ou des collègues qui utilisent l’hébergement GoDaddy, nous vous suggérons de partager ce message avec eux pour vous assurer qu’ils sont au courant de ce problème.

Merci à Ram Gall, ingénieur principal en assurance qualité pour Wordfence, pour ses contributions conjointes et ses recherches à ce poste.


Source link

%d blogueurs aiment cette page :