GoDaddy informa de una brecha de seguridad en WordPress

  • 11 Nov 2021
  • 10:01 PM

Así, la empresa que ofrece servicios de alojamiento web informó del robo de aproximadamente 1.2 millones de usuarios en el mundo y considera un alto riesgo de ataques phishing en consecuencia.

El director de seguridad de la información de Goddady, Demetrius Comes, el encargado de anunciar que la empresa detectó un acceso no autorizado a sus sistemas donde aloja y gestiona los servidores de WordPress de sus clientes.

Indicó que la persona(s) que accedió a estos sistemas usaron una contraseña comprometida para acceder a los sistemas de GoDdady. Consideran que esto ocurrió el 6 de Septiembre aunque el descubrimiento de la brecha fue hecho el 17 de noviembre y haciéndolo público 6 días después.

No explicaron si la contraseña comprometida estaba protegida con la autentificación de dos factores, ni tampoco del proceso de investigación en curso.

Lo que si se sabe, es que la brecha afecta a 1.2 millones de usuarios tanto activos como inactivos de WordPress. Y se han expuesto nombres de usuario, contraseña, direcciones de correo electrónico, números de clientes, sFTP (para la transferencia de archivos), nombre, usuario y contraseña de la base de datos de WordPress que almacena todo el contenido del usuario. En algunos casos la clave privada SSL quedó expuesta.

Consideran la posibilidad de los atacantes se hayan hecho también con las contraseñas originales de los administradores de WordPress, es decir, la creada cuando se abrió la cuenta por primera vez; y que esta podría se utilizada para acceder al servidor de WordPress del cliente.

Posibles Consecuencias

Se considera un alto riesgo de ataques de phishing a los personas a las que se les ha filtrado su información.

Acciones por parte de GoDaddy

GoDaddy ha dicho que ha restablecido las contraseñas y las claves privadas de los clientes de WordPress, y que esta en proceso de emitir nuevos Certificados SSL.

También indicaron que la propia compañía va a ponerse en contacto con los usuarios afectados en los próximos días.

Pero, ¿Cómo ha podido ocurrir esto?

El problema podría deberse a que GoDaddy almacenaba credenciales SFTP en texto sin formato o en un formato reversible en texto sin formato. Esto contrasta con técnicas mucho más seguras que podrían dificultar mucho más el acceso indeseado de cualquier intruso.

Medidas a tomar de parte de los Usuarios

Hay que recordar que GoDaddy tiene más de 20 millones de clientes en todo el mundo. Así, las empresas expertas de seguridad te sugieren que actives la autentificación de dos factores para acceder a cuenta de WordPress; de este modo, será más complicado para los atacantes, ya que necesitarán más que la contraseña robada.

Algo esencial es cambiar las contraseñas de acceso a WordPress. Además, si es posible sería interesante forzar también un restablecimiento de claves para los demás usuarios de ese sitio web. El atacante podría haber tenido acceso a esas contraseñas. Si utilizas la misma contraseña para otros servicios, tengan o no relación con GoDaddy y tu sitio web, deberías igualmente cambiarlas. De igual forma, sería importante que advirtieras al resto de usuarios para que hicieran lo mismo y evitar así lo que se conoce como efecto dominó y que llegue a afectar a otros servicios. Esto ocurriría si, por ejemplo, alguien utiliza el mismo e-mail y contraseña para entrar en Facebook.

Ten cuidado con cualquiera que se ponga en contacto contigo y te ofrezca "ayuda" para limpiar tu cuenta. Los atacantes tienen las direcciones de correo electrónico de todos los usuarios afectados, por lo que estas "ofertas" podrían venir directamente de ellos en forma de phishing.