A Comissão Federal de Comércio (FTC) dos EUA exigirá que o gigante de hospedagem de sites GoDaddy implemente proteções básicas de segurança, incluindo HTTPS APIs e autenticação multi-fator (MFA) obrigatória, para resolver as acusações de que falhou em proteger seus serviços de hospedagem contra ataques desde 2018.
A FTC afirma que as declarações da empresa sediada no Arizona sobre práticas de segurança consideradas razoáveis enganaram milhões de clientes de hospedagem na web porque a GoDaddy estava, na verdade, "cega para vulnerabilidades e ameaças em seu ambiente de hospedagem" devido à sua falha em implementar ferramentas e práticas de segurança padrão.
"Milhões de empresas, particularmente pequenas empresas, dependem de provedores de hospedagem na web como a GoDaddy para proteger os sites nos quais elas e seus clientes confiam", disse Samuel Levine, Diretor do Bureau de Proteção ao Consumidor da FTC.
A FTC está agindo hoje para garantir que empresas como a GoDaddy reforcem seus sistemas de segurança para proteger consumidores ao redor do globo.
De acordo com a reclamação da FTC, as práticas de segurança inadequadas da GoDaddy incluíram falhar em usar autenticação multi-fator (MFA), gerenciar atualizações de software, registrar eventos relacionados à segurança, segmentar sua rede, monitorar ameaças à segurança (incluindo a falha em usar software que pudesse detectar ativamente ameaças a partir de seus muitos registros) e usar monitoramento de integridade de arquivos.
A empresa também falhou em inventariar e gerenciar ativos, avaliar riscos para seus serviços de hospedagem de sites e proteger conexões a serviços que fornecem acesso a dados do consumidor.
A FTC diz que, entre 2019 e 2022, essas falhas de segurança de dados levaram a várias violações de segurança importantes, resultando em invasores ganhando acesso a sites e dados de clientes.
Por exemplo, em fevereiro de 2023, a gigante de hospedagem divulgou que invasores desconhecidos roubaram código-fonte e instalaram malware em servidores comprometidos após violarem seu ambiente de hospedagem compartilhada cPanel em uma violação de vários anos.
A empresa disse que só descobriu a violação no início de dezembro de 2022, após receber reclamações de clientes de que seus sites estavam sendo redirecionados para domínios desconhecidos.
A GoDaddy também revelou na época que violações de segurança divulgadas em novembro de 2021 e março de 2020 também estavam ligadas a esta campanha.
A violação de novembro de 2021 afetou 1,2 milhão de clientes do WordPress Gerenciado.
Invasores hackearam o ambiente de hospedagem da GoDaddy usando uma senha comprometida e obtiveram endereços de e-mail, senhas de Admin do WordPress, credenciais sFTP e de banco de dados, e chaves privadas SSL de alguns clientes.
Após a violação de março de 2020, a GoDaddy notificou 28.000 clientes de que um invasor usou suas credenciais de hospedagem na web para se conectar via SSH em outubro de 2019.
De acordo com uma ordem de acordo proposta, a FTC exigirá que a GoDaddy estabeleça um robusto programa de segurança da informação e proíbe a empresa de enganar os clientes sobre suas proteções de segurança.
A ordem também manda que a GoDaddy contrate um avaliador independente de terceiros para conduzir revisões bienais de seu programa de segurança da informação.
A empresa também é obrigada a adicionar MFA obrigatório para todos os clientes, funcionários e equipe de contratados "para qualquer ferramenta ou ativo de serviço de hospedagem de suporte, incluindo a conexão com qualquer banco de dados" e "pelo menos um método que não exija que o cliente forneça um número de telefone, como por meio da integração de aplicativos de autenticação ou permitindo o uso de chave de segurança."
Em dezembro, a FTC também ordenou que a Marriott International e os hotéis Starwood implementassem um robusto programa de segurança de dados após falhas que levaram a violações de dados massivas em 2014 e 2018, expondo mais de 340 milhões de registros de hóspedes.
A Marriott chegou a um acordo com a FTC em outubro de 2014 e concordou em pagar US$ 52 milhões aos 49 estados para resolver reivindicações relacionadas a essas violações de dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...