Os servidores WordPress da GoDaddy e Media Temple ficaram sob o domínio de criminosos por quase 2 meses até serem descobertos e bloqueados pela empresa. Isso aconteceu após um ataque hacker que atingiu mais de 1 milhão de clientes de diversas empresa.
Segundo informações oficiais, o ataque ocorreu no dia 6 de setembro. O hacker obteve acesso a todas as contas da hospedagem WordPress acessando, de forma não autorizada, o sistema através de uma vulnerabilidade.
Apenas no dia 17 de novembro, ou seja, quase 2 meses depois, a empresa detectou a atividade suspeita e bloqueou o acesso dos hackers. O incidente ainda está sob investigação e a empresa tomou diversas medidas para proteger os clientes afetados.
Clientes de diversas empresas famosas como a Media Temple, 123Reg, Domain Factory, Heart Internet, Host Europe e tsoHost também foram afetadas pelo ataque, porque elas também utilizam a infraestrutura da GoDaddy.
Em 2020 a GoDaddy já havia sofrido uma invasão. Porém, no episódio anterior o hacker havia conseguido acesso não autorizado via SSH. No ataque em questão o número de contas afetadas não foi divulgado.
Com as novas leis de proteção de dados, a GoDaddy foi obrigada a divulgar informações sobre o ataque mais recente e também a comunicar a todos os clientes afetados.
Quem foi afetado pelo ataque
Todos os clientes da hospedagem WordPress gerenciada (managed WordPress) ficaram expostos, visto que o hacker teve acesso a diversas informações sensíveis, incluindo as credenciais de acesso ao WordPress.
Os clientes da hospedagem de site e de registro de domínio, a princípio, não foram afetados. Apenas quem possui a hospedagem WordPress da empresa teve seus dados expostos no ataque (pelo menos até o momento foi isso que a GoDaddy afirmou).
A empresa garante que notificou todos os potenciais clientes afetados pelo incidente e que todas as medidas cabíveis foram tomadas. A GoDaddy garantiu trabalhar junto aos agentes da lei para garantir punição aos envolvidos no ataque.
Dados vazados
O ataque recente foi ainda mais prejudicial do que o sofrido no ano passado. Segundo informações divulgadas de forma oficial por um órgão do governo americano, o ataque violou todos os dados sensíveis e senhas dos usuários, tais como:
- Usuário e senha do painel de administração do WordPress;
- Credenciais do banco de dados;
- Credenciais de acesso ao FTP/SSH;
- Chaves dos certificados SSL;
- E-mail e telefone dos clientes.
Todas as senhas diretamente ligadas à hospedagem do WordPress foram violadas e precisam ser trocadas urgentemente. A princípio o hacker não teve acesso a área do cliente da Godaddy, apenas os dados armazenados no servidor da hospedagem WordPress foram severamente comprometidos.
As medidas para proteger os usuários ainda estão sendo tomadas pela GoDaddy. É preciso levar em consideração que, com todas essas credenciais vazadas, o hacker era capaz de obter acesso completo ao servidor, arquivos, banco de dados e até criar certificados SSL falsos em nome do domínio do site.
Os clientes precisam ficar atentos a possíveis golpes de phishing, já que dados como e-mail e telefone também foram vazados. Portanto, não confiem em e-mails recebidos pedindo para alterar sua senha ou qualquer coisa do tipo, pois criminosos podem tentar se passar pela GoDaddy usando os dados roubados.
É praticamente certo que esse grupo criminoso ou outros grupos criminosos tentem algum novo tipo de golpe usando as informações vazadas. Eles podem tentar obter novos dados da sua conta GoDaddy se passando pela empresa através de falsas mensagens de e-mails.
Como se proteger
Os clientes da GoDaddy devem trocar as senhas de acesso ao WordPress, FTP e ao banco de dados. Segundo a empresa, essas medidas foram tomadas de forma automática pela empresa, mas quem não teve a senha trocada deve ficar atento e mudar manualmente as senhas.
É importante lembrar que o evento ainda está sob investigação e os dados vazados podem ser ainda maiores do que os relatados pela empresa. Por esse, motivo nunca é demais se antecipar para mudar todas as credenciais de acesso ao servidor e site.
E se você notar algo suspeito em seu site, entre em contato com a GoDaddy para solicitar ajuda, pois os criminosos podem ter feito algum tipo de alteração maliciosa em seu site para aplicar golpes ou deixar algum backdoor.
E fique atento ao surgimento de novos usuários registrados no WordPress e arquivos suspeitos em seu site. Instale o plugin Wordfence e utilize a ferramenta de varredura para garantir que nenhum arquivo foi alterado para facilitar uma nova invasão a seu site, pois é comum os criminosos deixarem algum tipo de backdoor para futuramente hackear seu site.
Fontes:
https://www.pcmag.com/news/godaddy-hack-spreads-to-6-more-web-hosts
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
