A Federal Trade Commission (FTC) exigirá que o gigante de hospedagem web GoDaddy implemente proteções básicas de segurança, incluindo APIs HTTPS e autenticação multifator obrigatória (MFA), para resolver acusações de que falhou em proteger seus serviços de hospedagem contra ataques desde 2018.
A FTC afirma que as alegações da empresa com sede no Arizona de práticas de segurança razoáveis também enganaram milhões de clientes de hospedagem web, pois o GoDaddy estava, na verdade, "cego para vulnerabilidades e ameaças em seu ambiente de hospedagem" devido à sua falha em implementar ferramentas e práticas de segurança padrão.
"Milhões de empresas, principalmente pequenas empresas, contam com provedores de hospedagem web como o GoDaddy para proteger os websites nos quais elas e seus clientes confiam," disse Samuel Levine, diretor do Bureau de Proteção ao Consumidor da FTC.
A FTC está agindo hoje para garantir que empresas como o GoDaddy reforcem seus sistemas de segurança para proteger consumidores ao redor do globo.
De acordo com a reclamação da FTC, as práticas de segurança imprudentes do GoDaddy incluíam não utilizar autenticação multifator (MFA), não gerenciar atualizações de software, não registrar eventos relacionados à segurança, não segmentar sua rede, não monitorar ameaças de segurança (inclusive por falhar em usar software que poderia detectar ativamente ameaças a partir de seus muitos registros) e não usar monitoramento de integridade de arquivos.
A empresa também falhou em inventariar e gerenciar ativos, avaliar riscos para seus serviços de hospedagem de sites e proteger conexões com serviços que fornecem acesso a dados de consumidores.
A FTC diz que, entre 2019 e 2022, essas falhas de segurança de dados levaram a várias grandes violações de segurança, resultando em atores de ameaças ganhando acesso a websites e dados de clientes.
Por exemplo, em fevereiro de 2023, o gigante de hospedagem divulgou que atacantes desconhecidos roubaram código-fonte e instalaram malware em servidores comprometidos após invadir seu ambiente de hospedagem compartilhada cPanel em uma violação de vários anos.
A empresa disse que só descobriu a violação no início de dezembro de 2022, após receber queixas de clientes de que seus sites estavam sendo redirecionados para domínios desconhecidos.
O GoDaddy também revelou na época que violações de segurança divulgadas em novembro de 2021 e março de 2020 também estavam ligadas a esta campanha.
A violação de novembro de 2021 afetou 1,2 milhão de clientes Managed WordPress.
Atacantes invadiram o ambiente de hospedagem do GoDaddy usando uma senha comprometida e obtiveram endereços de e-mail, senhas de Admin do WordPress, credenciais sFTP e de banco de dados, e chaves privadas SSL de alguns clientes.
Após a violação de março de 2020, o GoDaddy notificou 28.000 clientes de que um atacante usou suas credenciais de hospedagem web para se conectar via SSH em outubro de 2019.
De acordo com uma ordem de acordo proposta, a FTC exigirá que o GoDaddy estabeleça um robusto programa de segurança da informação e proíbe a empresa de enganar os clientes sobre suas proteções de segurança.
A ordem também obriga o GoDaddy a contratar um avaliador independente de terceiros para realizar revisões bianuais de seu programa de segurança da informação.
A empresa também é obrigada a adicionar MFA obrigatório para todos os clientes, funcionários e pessoal contratado "para qualquer ferramenta ou ativo de Serviço de Hospedagem, incluindo conectar-se a qualquer banco de dados" e "pelo menos um método que não exija que o cliente forneça um número de telefone, como pela integração de aplicativos de autenticação ou permitindo o uso de chave de segurança."
Em dezembro, a FTC também ordenou que a Marriott International e a Starwood Hotels implementassem um robusto programa de segurança de dados após falhas que levaram a grandes violações de dados em 2014 e 2018, expondo mais de 340 milhões de registros de hóspedes.
A Marriott chegou a um acordo com a FTC em outubro de 2014 e concordou em pagar 52 milhões de dólares a 49 estados para resolver reivindicações relacionadas a essas violações de dados.
Atualização 16 de janeiro, 14:34 EST: Artigo revisado para incluir requisitos de MFA obrigatório.
Atualização 17 de janeiro, 08:28 EST: O GoDaddy enviou a seguinte declaração após a publicação do artigo:
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...