A Comissão Federal de Comércio dos EUA (FTC) finalizou uma ordem exigindo que o gigante de hospedagem de sites GoDaddy reforce a segurança de seus serviços para resolver acusações de falhas na segurança de dados que levaram a várias violações de dados desde 2018.
Em janeiro, a agência também alegou que a GoDaddy, uma grande empresa de hospedagem de sites com cerca de cinco milhões de clientes, enganou os usuários sobre suas práticas de segurança.
A FTC descobriu que a GoDaddy não estava ciente das vulnerabilidades em seu ambiente de hospedagem devido à falta de medidas de segurança padrão.
A ordem da FTC proíbe a empresa de enganar clientes sobre suas proteções de segurança e obriga a GoDaddy a estabelecer um programa robusto de segurança da informação, proteger APIs usando HTTPS ou outros protocolos de transferência seguros e configurar um programa de gestão de atualizações de software e firmware.
A ordem também requere que a GoDaddy contrate um avaliador independente de terceiros para realizar revisões bienais de seu programa de segurança da informação e reportar qualquer incidente onde dados de clientes foram expostos, acessados ou roubados dentro de 10 dias.
Entre outros requisitos, a empresa de hospedagem deve adicionar ao menos uma MFA obrigatória para todos os clientes, funcionários e a equipe de contratados "para qualquer ferramenta ou ativo de serviço de hospedagem, incluindo a conexão a qualquer banco de dados" e "pelo menos um método que não requeira o cliente fornecer um número de telefone, como por integrar aplicativos de autenticação ou permitir o uso de chave de segurança."
De acordo com a reclamação da FTC, a GoDaddy tinha práticas de segurança inadequadas, faltando autenticação de múltiplos fatores (MFA), gerenciamento apropriado de atualizações de software e registro de eventos de segurança.
Também falhou em monitorar ameaças, segmentar sua rede, usar monitoramento de integridade de arquivos, manter o controle e gerenciar seus ativos, avaliar riscos para seus serviços de hospedagem ou proteger conexões de serviço com dados do consumidor.
A FTC diz que essas falhas de segurança levaram a várias violações de segurança importantes entre 2019 e 2022, resultando em atacantes ganhando acesso a dados de clientes e websites.
Por exemplo, em fevereiro de 2023, a GoDaddy revelou que atores de ameaças desconhecidos instalaram malware em servidores comprometidos e roubaram código-fonte após violarem seu ambiente de hospedagem compartilhada cPanel em uma violação de vários anos.
A empresa descobriu o incidente no início de dezembro de 2022, apenas após receber reclamações de clientes de que seus websites estavam sendo abusados para redirecionar a domínios desconhecidos.
A GoDaddy também divulgou na época que as violações divulgadas em março de 2020 e novembro de 2021 estavam ligadas à mesma campanha.
Na violação de novembro de 2021, atacantes invadiram o ambiente de hospedagem da GoDaddy usando uma senha comprometida e roubaram endereços de e-mail, senhas do Admin do WordPress, credenciais sFTP e de banco de dados, e chaves privadas SSL de 1,2 milhão de clientes do WordPress Gerenciado.
Após a violação de março de 2020, a GoDaddy notificou 28.000 clientes de que um atacante usou suas credenciais de hospedagem na web para conectar via SSH em outubro de 2019.
"Estamos constantemente melhorando nossas capacidades de segurança e já implementamos várias das exigências no acordo de liquidação com a FTC.
Notadamente, a resolução deste assunto não inclui nenhuma admissão de falha e nenhuma penalidade monetária", disse a GoDaddy em janeiro, quando a FTC emitiu uma ordem de liquidação proposta.
"Esperamos um impacto financeiro mínimo associado ao cumprimento dos termos do acordo com a FTC. Planejamos continuar investindo em nossas defesas para enfrentar ameaças em evolução e ajudar a manter nossos clientes, seus websites e seus dados seguros."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...