Theo GoDaddy, một bên thứ ba với mục đích xấu đã cố gắng chiếm quyền truy cập vào môi trường lưu trữ Managed WordPress của hãng từ tháng 9/2021 thông qua một mật khẩu bị đánh cắp. Kẻ xấu sử dụng mật khẩu này để lấy đi những thông tin nhạy cảm liên quan đến khách hàng của hãng. Hiện vẫn chưa rõ mật khẩu này có được bảo mật bằng xác thực hai yếu tố hay không.

GoDaddy tiết lộ hãng phát hiện vụ việc ngày 17/11. Các thông tin sau đây được cho là đã bị kẻ xâm nhập truy cập:

• Địa chỉ email và số của 1,2 triệu khách hàng đang hoạt động và không hoạt động của Managed Wordpress.

• Mật khẩu quản trị viên Origninal WordPress đặt tại thời điểm lộ lọt.

• sFTP, dữ liệu tên người dùng và mật khẩu được liên kết với các khách hàng đang hoạt động của hãng.

• Khóa cá nhân SSL cho một nhóm nhỏ khách hàng đang hoạt động.

GoDaddy cho biết hãng đang chuẩn bị phát hành và cài đặt chứng chỉ mới cho những khách hàng bị ảnh hưởng. Công ty cũng đặt lại các mật khẩu bị ảnh hưởng và củng cố hệ thống cung cấp cùng các biện pháp an ninh bổ sung.

Mark Maunder, Giám đốc điều hành Wordfence cho biết: “Cách GoDaddy lưu trữ mật khẩu sFTP là ở dạng các bản rõ, thay vì các hàm băm nhỏ hoặc cung cấp thêm biện pháp xác thực khóa công khai. Cả hai cách thức sau đều là những phương pháp bảo đảm an ninh tốt”.

Việc lộ địa chỉ email và mật khẩu có thể dẫn đến nguy cơ bị tấn công lừa đảo, chưa kể đến trường hợp những kẻ tấn công có thể xâm nhập vào các trang WordPress tồn tại lỗ hổng để tải lên phần mềm độc hại và truy cập thông tin nhận dạng cá nhân khác được lưu trữ trong đó.

Cũng theo Maunder: “Trên các trang web có khóa cá nhân SSL bị lộ, kẻ tấn công có thể giải mã lưu lượng truy cập bằng khóa cá nhân SSL bị đánh cắp, chỉ cần thực hiện thành công cuộc tấn công man-in-the-middle (MITM) chặn lưu lượng truy cập được mã hóa giữa một khách truy cập trang web và một trang web bị ảnh hưởng”.