28,000 cuentas de Godaddy han sido comprometidas

Este es un anuncio con respecto a un problema de seguridad que puede afectar a algunos de nuestros clientes de dominio y que se encuentran alojados con un proveedor externo. El 4 de mayo de 2020, GoDaddy, uno de los proveedores de alojamiento de sitios web más grandes del mundo, reveló que las credenciales SSH de aproximadamente 28,000 cuentas de alojamiento de GoDaddy fueron comprometidas por un atacante no autorizado.

 

El protoclo SSH, si bien es extremadamente seguro si se configura correctamente, puede permitir inicios de sesión con una combinación de nombre de usuario / contraseña, o un nombre de usuario y un par de llaves públicas / privadas. En el caso de esta violación, parece probable que un atacante colocó su clave pública en las cuentas afectadas para poder mantener el acceso aún incluso si se cambiaba la contraseña de la cuenta.

 

No está claro cuáles de los paquetes de alojamiento de GoDaddy se vieron afectados por esta violación. Según la declaración pública de GoDaddy (traducida del inglés):

 

“El 23 de abril de 2020, identificamos que los nombres de usuario y las contraseñas de SSH habían sido comprometidos por una persona no autorizada en nuestro entorno de alojamiento. Esto afectó aproximadamente a 28,000 clientes. Inmediatamente restablecimos estos nombres de usuario y contraseñas, eliminamos un archivo SSH autorizado de nuestra plataforma y no tenemos ningún indicio de que la persona haya utilizado las credenciales de nuestros clientes o haya modificado ninguna cuenta de alojamiento de clientes. El individuo no tenía acceso a las cuentas principales de GoDaddy de los clientes”.

 

La violación en sí parece haber ocurrido el 19 de octubre de 2019.

 

 

¿Qué tengo que hacer?

 

Acción inmediata

Si se ha visto afectado por esta situación y GoDaddy aún no lo ha notificado, es probable que se le notifique en el futuro cercano.

GoDaddy indica que han actualizado las contraseñas de las cuentas y eliminado la clave pública del atacante. Si bien esto debería evitar que el atacante acceda a los sitios afectados a través de SSH, recomendamos encarecidamente cambiar la contraseña de la base de datos de su sitio, ya que esto podría haber sido fácilmente comprometido por un atacante sin modificar la cuenta.

Las credenciales de base de datos comprometidas podrían usarse para obtener el control de un sitio de WordPress, Joomla, Moodle u otro CMS si las conexiones remotas de bases de datos están habilitadas, lo que GoDaddy permite en muchas de sus cuentas de alojamiento. También es posible que desee verificar en su sitio usuarios administrativos no autorizados, ya que podrían haberse creado sin modificar ningún archivo en el sitio.

 

No bajar la guardia

 

Las incidencias como esta pueden crear un objetivo principal para los atacantes que usan campañas de phishing como un medio para infectar a los usuarios.

 

El phishing, por definición general, es un ataque mediante el cual un usuario mal intencionado creará un correo electrónico que parece provenir de una fuente legítima, pero está destinado a obtener información confidencial de un usuario desprevenido. Aunque solo 28,000 cuentas de alojamiento parecen haber sido afectadas, se estima que GoDaddy aloja millones de sitios. Esto significa que hay millones de usuarios por ahí que podrían estar preocupados de recibir una notificación de que se ha violado su cuenta de alojamiento.

 

Por lo tanto, la probabilidad de una campaña de phishing dirigida a los usuarios de GoDaddy es alta. Recomendamos que, en estas condiciones, los clientes de GoDaddy tengan cuidado al hacer clic en los enlaces o al ejecutar cualquier acción en un correo electrónico para asegurarse de que no terminen siendo víctimas de un ataque de phishing.

 

Hay algunas cosas clave que puede verificar para ver si es blanco de un ataque de phishing:

 

• – Verifique el encabezado del correo electrónico. Si la fuente del correo electrónico no proviene de un dominio GoDaddy registrado, lo más probable es que no provenga de GoDaddy y es un intento de phishing.
• – Busque una gran cantidad de errores tipográficos o ortográficos en el contenido del correo electrónico. Esto puede indicar la presencia de un atacante. Los correos electrónicos profesionales contendrán errores ortográficos o errores ortográficos mínimos, si los hay.
• – Se utiliza lenguaje intimidante para que proporcione información personal. El correo electrónico de divulgación de incidentes de seguridad de GoDaddy no debería asustarlo ni pedirle que proporcione ninguna información. Simplemente debe informarle que puede haber sido afectado por una violación. Si recibes un correo electrónico que parece asustarte para que proporciones información, puede ser un intento de phishing.

 

Si no puede verificar la fuente de un correo electrónico o su legitimidad, es mejor ir directamente al sitio de GoDaddy y contactarlos a través de sus canales de soporte estándar. Esto le permitirá verificar que su cuenta sea segura.

 

Esta comunicación se proporciona como cortesía a nuestros propios clientes. Póngase en contacto con GoDaddy directamente si tiene preguntas sobre la seguridad de su cuenta. Si tiene amigos o colegas que usan el alojamiento GoDaddy, le sugerimos que comparta esta publicación con ellos para asegurarse de que estén al tanto de este problema.