The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом провайдера GoDaddy, приведший к компрометации 1.2 млн клиентов WordPress-хостинга

22.11.2021 21:56

Раскрыты сведения о взломе GoDaddy, одного из крупнейших регистраторов доменов и хостинг-провайдеров. 17 ноября были выявлены следы неавторизированного доступа к серверам, отвечавшим за предоставление хостинга на базе платформы WordPress (сопровождаемые провайдером готовые WordPress-окружения). Разбор инцидента показал, что посторонние получили доступ к системе управления WordPress-хостингом через скомпрометированный пароль одного из сотрудников, и использовали неисправленную уязвимость в устаревшей системе для получения доступа к конфиденциальной информации об 1.2 млн активных и не активных пользователей WordPress-хостинга.

В руки атакующих попали данные об именах учётных записей и паролях, используемых клиентами в СУБД и SFTP; паролях администратора каждого экземпляра WordPress, выставленных при начальном создании хостинг-окружения; закрытых SSL-ключах части активных пользователей; email-адресах и номерах клиентов, которые могли использоваться для совершения фишинга. Отмечается, что атакующие имели доступ к инфраструктуре начиная с 6 сентября.

  1. Главная ссылка к новости (https://www.reddit.com/r/netse...)
  2. OpenNews: Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
  3. OpenNews: Отчёт о компрометации git-репозитория и базы пользователей проекта PHP
  4. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada
  5. OpenNews: Компрометация инфраструктуры Ubiquiti, не исключающая доступ к устройствам пользователей
  6. OpenNews: Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56210-hack
Ключевые слова: hack, godaddy
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (65) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, А где же каменты (?), 22:47, 22/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Интересно какие зарплаты у их безопасников.
     
     
  • 2.11, Аноним (-), 00:16, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    $147,602 per year
    https://www.indeed.com/cmp/Godaddy/salaries/Senior%20Software%20Engi
     
     
  • 3.19, Михрютка (ok), 00:43, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    хороший сайт

    https://www.indeed.com/cmp/Godaddy/salaries/Security-Officer

    Average salary
    $45,939 per year
    25% Above national average
    Does this salary seem accurate?

    Salary estimated from 2 employees, users, and past and present job advertisements on Indeed in the past 12 months. Last updated: December 31, 1969

    и данные актуальные

     
     
  • 4.20, Аноним (20), 00:54, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Там так вахтеров называют
     
  • 4.26, vantoo (ok), 03:24, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не позорьтесь, Security Officer это охранник и 4 килобакса в месяц это зарплата охранника. Безопасники получают по 12 килобаксов в месяц, как и указано выше.
     
     
  • 5.32, Дима (??), 09:40, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Senior Software Engineer - это не безопасник.
     
  • 3.27, Аноним (27), 05:21, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Вы хоть предупреждайте когда кидаете такие ссылки, а то со своей зп в 30т.р./месяц можно инфаркт получить
     
     
  • 4.30, Лёня (?), 08:59, 23/11/2021 Скрыто модератором
  • –6 +/
     
     
  • 5.31, Аноним (31), 09:05, 23/11/2021 Скрыто модератором
  • +/
     
     
  • 6.42, Иноагент (?), 12:28, 23/11/2021 Скрыто модератором
  • +4 +/
     
     
  • 7.44, пох. (?), 12:56, 23/11/2021 Скрыто модератором
  • –3 +/
     
     
  • 8.46, анонимка (?), 14:02, 23/11/2021 Скрыто модератором
  • +3 +/
     
  • 7.53, Аноним (53), 23:34, 23/11/2021 Скрыто модератором
  • +/
     
     
  • 8.67, пох. (?), 13:29, 24/11/2021 Скрыто модератором
  • –1 +/
     
  • 3.28, Аноним (28), 08:02, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже как-то привычно, что масштабные взломы происходят именно там, где кичатся так называемыми "безопасниками" и дают им волю. Из-за чего квалифицированный народ разбегается, и остаются только лояльные *ополизы. И почему-то их после этого ломают.
    Сегодня это Godaddy, ранее - сиска(история с узбекскими майнерами, зохаватившима aws аккаунт), софтстерв(история утечки всей документации).
    Вывод - так должно быть, когда за дело берутся "безопасники".
     
     
  • 4.34, Аноним (34), 10:03, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Задним числом подгонять неинтересно. Как насчет того, что бы назвать, кого можно ожидать следующим?
     
     
  • 5.40, Аноним (28), 10:56, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Согласен! Статистика не нужна, даёшь астрологию!
    (проверочный код для этого сообщения содержит число 666, кстати.)
     
  • 4.60, Онаним (?), 00:22, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На самом деле масштабные взломы происходят там, где во взломе есть какая-либо ценность.
    И не о всех таковых взломах общественность узнаёт.
     
     
  • 5.68, пох. (?), 13:30, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > На самом деле масштабные взломы происходят там, где во взломе есть какая-либо
    > ценность.

    Моррис младший смотрит на тебя как на м-ка.


     
  • 4.62, Имя (?), 08:49, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересно, у гугла есть т.н. "безопасники"?
     
  • 3.75, Аноним (75), 20:00, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ожидаемое качество за такие копейки. Сколько заплатишь - таких специалистов и получишь ¯\_(ツ)_/¯
     

  • 1.2, Шарп (ok), 22:52, 22/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Почему пароль какого-то сотрудника даёт доступ ко всему этому добру?
     
     
  • 2.3, Аноним (3), 23:08, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Я бы спросил почему пароли не прохешированы. Или в вебе так не пирнято?
     
     
  • 3.5, ВебМакак (?), 23:23, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Я бы спросил почему пароли не прохешированы. Или в вебе так не пирнято?

    Так они же зашифрованы! Через TLS! Совсем ты не шариш!

     
  • 3.6, Alex (??), 23:34, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как можно зашифровать пароли подключения приложения к СУБД и SFTP?
     
     
  • 4.8, Аноним (8), 23:41, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пароля подключения к SFTP /не должно/ быть в принципе. Авторизацию по открытому ключу как бы давно придумали.
     
     
  • 5.24, gogo (?), 02:38, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зачем вообще sftp для хостинга на ВП? там все через вебморду ведь
     
  • 5.29, пох. (?), 08:17, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Во, точно - не надо никаких паролей, все ключи от всего должны быть в гитхабе и гитляпе, кучкой.

    И если такой ключик кто-то спер - никаких следов просто не остается.

     
     
  • 6.41, Аноним (41), 11:39, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Купите поху жесткий диск, человек вероятно не в курсе, что можно данные хранить не в интернете.
     
     
  • 7.43, пох. (?), 12:55, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Купите поху жесткий диск, человек вероятно не в курсе, что можно данные
    > хранить не в интернете.

    если ты будешь хранить все свои ключи от всего кучкой на жестком диске - не хотел бы тебя огорчать, но рано или поздно они окажутся "в интернете", если твое всьо хоть чего-то стоит.

    Причем скорее всего - рано.

    Заметь, если ты хранишь свои пароли даже не в голове, а приклеенными к монитору - они в интернете просто так не окажутся. Но девляпсы обожают повсюду откладывать кучки.

     
  • 4.17, Sw00p aka Jerom (?), 00:37, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    SFTP можно хешировать
     

  • 1.7, Аноним (8), 23:38, 22/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    -Скажи, что ты идиот, не говоря этого напрямую.
    -Я храню пароли плейнтекстом.
     
     
  • 2.9, Онаним (?), 23:45, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для CRAM ты пароль никак не похранишь, кроме как плейнтекстом.
    Нет, можно конечно CRAM от хеша, но тут уже зависит - клиент твой, или например какой-нибудь third party SMTP :)
     
     
  • 3.13, Аноним (-), 00:17, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуйся SCRAM.
     
     
  • 4.38, Онаним (?), 10:21, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Без проблем, если протоколы свои, так и делаю.
    Но с классическим SMTP-то что делать? :D
     
     
  • 5.55, Аноним (53), 23:45, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот что: https://github.com/pear/Net_SMTP/issues/57. Писать об этом, как Neustradamus, просить сделать, присылать патчи. Без этого ничего не поменяется.
     
     
  • 6.56, Онаним (?), 00:14, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и как результат? :D
    Приведённая линка особенно показательна.
     
     
  • 7.61, Аноним (31), 07:33, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Результат — XMPP уже перешёл на SCRAM.
     
     
  • 8.63, Онаним (?), 09:21, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Реализаций XMPP - сотни, в лучшем случае Какие из них конкретно перешли D... текст свёрнут, показать
     
     
  • 9.71, пох. (?), 13:36, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    никакие, но пацаны уже написали восемь XEPов и бегут их внедрять Правда, они не... текст свёрнут, показать
     
     
  • 10.82, Аноним (31), 12:45, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты неудачник и нытик И никому не нужен, даже в XMPP ... текст свёрнут, показать
     
  • 9.81, Аноним (31), 12:44, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Все ... текст свёрнут, показать
     
     
  • 10.86, Онаним (?), 21:10, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Все - это какие, поконкретнее ... текст свёрнут, показать
     
  • 6.83, пох. (?), 15:25, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот что: https://github.com/pear/Net_SMTP/issues/57. Писать об этом, как Neustradamus,
    > просить сделать, присылать патчи. Без этого ничего не поменяется.

    и что с этим поменялось?

    Альтернативно-одаренный разработчик сам не могет и хазноплан - ему и так донейты капают.
    А у тебя опять кончились деньги и туалетная бумага, и ты не можешь себе позволить понакодить патчей во все  на свете проекты от которых как-то зависишь.

     
  • 2.10, Онаним (?), 23:47, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если у тебя не CRAM - то у тебя, Хьюстон, другие проблемы: пароль открытым текстом не хранится, но зато открытым текстом 100500 раз на дню передаётся - даже если он на сервак пришёл по TLS, имея доступ собственно к серваку и закрытым ключам, его уже можно прочитать.

    Вот и решай, что хуже.

     
     
  • 3.23, Аноним (23), 02:31, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот для этого придумали двойное шифрование, когда натуральный пароль не покидает машинки клиента, а передача идёт только одноразового дважды шифрованного пароля, который сравнивается с шифрованным шифром из БД.
     
     
  • 4.37, Онаним (?), 10:20, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Всё проще, вообще для того, что бы пароль открытым текстом не ходил - для этого и есть CRAM.

    Там не просто "дважды шифрованный" пароль, а одноразовый хеш от комбинации запроса (challenge) и пароля, который сравнивается не с "шифрованным шифром шифра из БД", а с ожидаемым одноразовым ответом.

    Проблема в том, что в части легаси-протоколов CRAM считается от исходного пароля, а не его хеша, или от обратимых преобразований такового...

     
     
  • 5.84, пох. (?), 15:33, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема в том, что в части легаси-протоколов CRAM считается от исходного пароля,
    > а не его хеша, или от обратимых преобразований такового...

    а в чем разница-то? эти обратимые или даже необратимые преобразования в этом протоколе порождают полноценный  password equivalent, зная который тебе уже не нужно знать пароль.

     
     
  • 6.85, Онаним (?), 21:02, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    CRAM позволяет не заботиться о возможности перехвата трафика. Даже если ты получишь одноразовый challenge-response, никакого "эквивалента" ты из него не извлечёшь.

    Далее, с эквивалентом ты не залогинишься к юзеру во втентаклик, если там не тот же эквивалент используется, даже если у него там точно такой же пароль поставлен.

     

  • 1.12, Аноньимъ (ok), 00:17, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >компрометации клиентов WordPress

    Нельзя скомпрометировать то что уже скомпроментировано.

     
     
  • 2.39, Онаним (?), 10:22, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну вот кстати да.
    Вротпресс сам по себе зияющая дыра.
     

  • 1.14, YetAnotherOnanym (ok), 00:20, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эка невидаль...
     
  • 1.15, Аноним (-), 00:28, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Хакеры на три буквы прослушивали https трафик в течении х лет, причиной такого непотребства оказался взлом, вон посмотрите сколько пользователей пострадало, ой ай ай, за новый слив сертификата денежку давай.

    Странно что кто-то еще верит в https и зеленые замочки.

     
     
  • 2.18, Аноньимъ (ok), 00:42, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне тут недавно доказывали что шттпс очень безопасно особенно для баз данных, а иначе как же безопасность ещё обеспечить непонятно.
     
     
  • 3.21, Аноним (-), 02:12, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Известно как - добровольное cloudflare всех своих данных и пользователей, этаявамгаварю !
     
     
  • 4.25, Аноним (23), 02:44, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда, заходя на некий сайт, видишь в заблокированных скриптах кляудфлару, понимаешь, что на этом сайте ничего серьёзного делать нельзя.
     
     
  • 5.35, Аноним (35), 10:06, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обычно я с таких сайтов сразу ухожу. А в дашборде это показывается как отбитая атака. Вот наверное владелец сайта радуется
     
  • 3.57, Онаним (?), 00:15, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём тут хытытыпыс.
    Ты хоть обделайся безопасностями на канале, но если ендпоинт поломали, то канал уже не важен.
    С другой стороны, без безопасности на канали и ендпоинт ломать не нужно.
     
     
  • 4.79, Аноним (-), 09:42, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Техника открытого ключа и прочее кунг-фу обделывает ломателей "ендпоинтов", "мидпоинтов" и дает +30 к эмоциональному здоровью всех положительно настроенных к мастеру.
     
     
  • 5.87, Онаним (?), 21:11, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, закрытого ключа-то на ендпоинте нету :D
     
  • 2.64, onanim (?), 09:35, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    SSL - это вообще глобальное на*6алово. холодным потом покрываешься и мурашки по жёппе бегут, когда осознаёшь, как работает это "шифрование" в интернете.
    точнее, не работает.
     

  • 1.16, 2 (?), 00:34, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Некогда работать, танчики ждут!
     
  • 1.22, Аноним (23), 02:22, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > на базе платформы WordPress

    Дальше можно не читать.

     
  • 1.33, Аноним (-), 09:54, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    это все потому, что критичная инфраструктура не под node.js.В node.js все уязвимости ещё до атаки обновились бы до не уязвимости.
     
     
  • 2.36, Аноним (31), 10:13, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На Twisted, на Twisted надо.
     

  • 1.45, Аноним (45), 13:39, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про rust уже пошутили?
     
     
  • 2.47, А где же каменты (?), 14:46, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Будешь первым.
     

  • 1.51, Аноним (-), 21:00, 23/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А как переводятся слова - GoDaddy? "Иди Папа" или "Вперёд Папа"? Странное у провайдера имя.
     
     
  • 2.58, Онаним (?), 00:18, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "How did GoDaddy get its name? It was originally called Jomax Technologies, a name that came from the dirt road in Maryland that founder Parsons used to pass on his way to work.  In 1999, Parsons began searching for a catchier name.  The story goes that an employee suggested “Big Daddy,” after the Adam Sandler movie released that year, but the domain name had already been taken. An employee later came up with “Go Daddy” and it stuck.

    Parsons writes in his blog:

        We noticed two things that most always happen when someone hears the name “Go Daddy” for the first time. 1: They smile. We like that. 2: They remember it. We love that. So we changed the name of the company to Go Daddy Software, Inc.…Our name “Go Daddy” has no meaning other than we thought it was kind of fun."

     
  • 2.76, Онаним (?), 23:10, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ближайший более-менее дословный перевод выглядит как "перейди в режим папы" :D
    Правда употребляется этот вариант только с прилагательными, поэтому тоже чутка мимо тазика.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру