影响多达 120 万个网络主机的 GoDaddy 数据泄露事件已扩大到为全球客户提供服务的另外六个网络主机。 另外六个受感染的网络主机是 GoDaddy 托管服务的经销商。 入侵的程度似乎与 GoDaddy 相同,与安全入侵开始的日期相匹配。
六家受感染的网络托管服务提供商是:
- 123注册
- 域工厂
- 心网
- 主办欧洲
- 媒体殿堂
- tsoHost
入侵的准确日期
加利福尼亚州发布了 GoDaddy 于 2021 年 11 月 23 日提交的安全漏洞通知。
在加利福尼亚州的通知中,GoDaddy 提供了安全入侵的具体日期。
入侵日期为:
- 2021 年 9 月 6 日
- 2021 年 9 月 7 日
- 2021 年 9 月 8 日
- 2021 年 9 月 9 日
- 2021 年 9 月 10 日
- 2021 年 9 月 11 日
- 2021 年 11 月 7 日
这些日期很重要,因为根据 Wordfence 发布的信息,至少有两家托管服务提供商的客户收到了引用同一入侵日期的通知,即 2021 年 9 月 6 日。 这意味着额外数据泄露的根本原因是相关的,如果不是更多的话,至少是按日期计算的。
发送给 GoDaddy 客户和至少两个额外网络主机的通知也类似。
这是发送给 GoDaddy 客户的部分电子邮件文本:
“我们写信通知您发生影响您的 GoDaddy 托管 WordPress 托管服务的安全事件。
11 月 17 日,我们在 WordPress 托管环境中发现了可疑活动,并立即在第三方 IT 取证公司的帮助下开始调查,并已联系执法部门。
我们的调查正在进行中,但我们已确定,在 2021 年 9 月 6 日左右,未经授权的第三方获得了某些用于管理服务的身份验证信息,特别是您的客户编号和与您的帐户关联的电子邮件地址; 您在开始时设置的 WordPress 管理员登录名; 和你的 sFTP 和
数据库用户名和密码。这意味着未经授权的一方可能已经获得了访问您的托管 WordPress 服务并对其进行更改的能力,包括更改您的网站和存储在其中的内容。”
发送给 GoDaddy 客户的通知类似于发送给 MediaTemple 客户的电子邮件通知。
这是发送给 MediaTemple 客户的电子邮件的一部分:
“……我们已经确定,在 2021 年 9 月 6 日左右,未经授权的第三方获得了某些用于管理服务的身份验证信息,特别是与您的帐户关联的客户编号和电子邮件地址; 您在开始时设置的 WordPress 管理员登录名; 以及您的 sFTP 和数据库用户名和密码。”
各个网络主机的管理员已重置密码,并建议客户重置密码。 那些 SSL 证书数据被暴露的人可能必须重新安装他们的证书。
客户面临可能遭到入侵的网站?
由于敏感数据暴露了两个月而未被发现,另外六家遭受数据泄露的网络托管服务提供商的客户可能面临进一步的安全问题,这让黑客有时间安装后门、添加恶意管理帐户和上传恶意脚本.
引文
阅读 Wordfence 安全公告
GoDaddy 违规扩大到 tsoHost、Media Temple、123Reg、Domain Factory、Heart Internet 和 Host Europe
