Moltissimi siti web (tra cui molti eCommerce) si affidano a GoDaddy come servizio di hosting.
Nelle scorse ore, purtroppo, la società ha rilasciato delle informazioni che non faranno piacere ai suoi clienti. Essa, infatti, ha annunciato che ci sono stati dei problemi di violazione dei server.
La società ha spiegato il tutto in maniera molto vaga, spiegando solo che gli hacker avrebbero potuto accedere e modificare i siti hostati sui suoi server.
GoDaddy: server compromessi per 6 mesi
Secondo il Dipartimento di Giustizia della California, la prima violazione della sicurezza dei server di GoDaddy risale all’ottobre del 2019. Essa, però, è stata rilevata solo ora, maggio 2020, ben 6 mesi dopo!
Solitamente, esiste un protocollo di sicurezza che si chiama SSH (Secure Shell). Esso, sostanzialmente, permette di gestire un server solo a chi ha le opportune autorizzazioni.
Se un hacker riuscisse a violare tale protocollo, potrebbe accedere a tutti i siti web presenti su quel server e modificarne i file.
Qualche hacker, a quanto pare, è riuscito a violare questo protocollo e ad accedere ai server di GoDaddy.
La mail inviata dalla società ai suoi clienti recita:
“Le indagini hanno rilevato che un singolo non autorizzato ha ottenuto i tuoi dati di login necessari per accedere al protocollo SSH sul tuo account per gestire l’hosting”.
Come è stato violato l’SSH?
Secondo quanto detto da GoDaddy, il protocollo SSH è stato violato ad ottobre 2019 e la cosa è stata scoperta ad aprile 2020 (le date della società discordano un po’ con quelle del Dipartimento di Giustizia della California).
Oltre alle generiche dichiarazioni su quando è avvenuta la violazione e sul protocollo violato, la società non ha rilasciato ulteriori informazioni. Essa, ad esempio, non ha spiegato se questa vulnerabilità fosse già nota. E, se fosse stata già nota, perché non era stata rimossa già tempo fa?
L’unica cosa che ha ammesso la società è stato il lungo intervallo di tempo trascorso dalla violazione al suo rilevamento.
Tramite una rapida ricerca, è venuto fuori che una vulnerabilità critica era presente nella versione 7.7 di OpenSSH. Questa vulnerabilità è stata rimossa il 9 ottobre 2019, pochi giorni prima dell’attacco subito da GoDaddy.
Il problema è che la società di hosting non ha rivelato se la vulnerabilità dei suoi server è quella di cui abbiamo appena parlato.
Se si trattasse davvero della vulnerabilità di cui abbiamo parlato, ciò vorrebbe dire che chi di dovere non è stato in grado di aggiornare correttamente i server.
Quanti siti sono stati hackerati?
GoDaddy, purtroppo, ha omesso anche le informazioni riguardanti il numero di siti che sono stati vittime dell’attacco hacker.
Secondo una stima di Threatpost, ben 28.000 account sono stati violati.
L’unico consiglio che ha dato la società di hosting è stato quello di resettare le proprie password. Cosa che anche noi vi consigliamo di fare al più presto, nonostante siano passati già sei mesi dall’attacco hacker.
Il comportamento di GoDaddy, che si è limitata ad inviare una mail in cui afferma che “non ha prove che il tuo sito sia stato violato” e ti invita a cambiare password, a parer nostro, è stato davvero poco professionale.
La società, come detto, sta cercando di far passare la notizia in sordina e di non prendersi le proprie responsabilità.
Se siete tra coloro che utilizzano il servizio di hosting di GoDaddy, cambiate al più presto le password dei vostri account e controllate l’integrità dei file dei vostri siti web.