GoDaddy Hosting bị hack, hơn 2 tháng sau mới phát hiện

We identified suspicious activity in our Managed WordPress hosting environment and immediately began an investigation with the help of an IT forensics firm and
contacted law enforcement. Using a compromised password, an unauthorized third party accessed the provisioning system in our legacy code base for Managed
WordPress.

Upon identifying this incident, we immediately blocked the unauthorized third party from our system. Our investigation is ongoing, but we have determined that,
beginning on September 6, 2021, the unauthorized third party used the vulnerability to gain access to the following customer information:

• Up to 1.2 million active and inactive Managed WordPress customers had their email address and customer number exposed. The exposure of email addresses presents risk of phishing attacks.
• The original WordPress Admin password that was set at the time of provisioning was exposed. If those credentials were still in use, GoDaddy reset those passwords.
• For active customers, sFTP and database usernames and passwords were exposed. GoDaddy reset both passwords.
• For a subset of active customers, the SSL private key was exposed. GoDaddy is in the process of issuing and installing new certificates for those customers.

Theo như nội dung thông báo, toàn bộ khách hàng cũ và khách hàng hiện tại đang sử dụng nền tảng Managed WordPress của GoDaddy đều bị ảnh hưởng bởi lỗ hổng này. Nó bao gồm các gói WordPress hosting từ Basic, Delux, Ultimate, cho tới Ecommerce. Những dịch vụ hosting khác không thấy đề cập đến.

Nguyên nhân vấn đề có thể đến từ hệ thống hoạt động của GoDaddy, vốn được thiết kế để khách hàng có thể xem được thông tin username và password của SFTP dễ dàng trong trang web quản trị. Để làm được điều này, có thể họ đã lưu mật khẩu của khách hàng dạng thô, không được mã hóa, hoặc được mã hóa sơ sài để dễ dàng xem lại được.

Bạn nên làm gì nếu sử dụng GoDaddy Managed WordPress?

GoDaddy đã gửi thông báo tới toàn bộ khách hàng của mình về sự cố. Nếu bạn là một trong số khách hàng đang sử dụng dịch vụ của họ, nên thực hiện các bước sau:

• Nếu sử dụng một site thương mại điện tử, và GoDaddy xác nhận bạn bị ảnh hưởng, bạn nên thông báo tới khách hàng của mình nếu có lưu thông tin của họ
• Thay đổi mật khẩu WordPress admin, nếu được hãy thực hiện việc thay đổi mật khẩu bắt buộc với toàn bộ user. Do hacker có quyền can thiệp vào database nên dễ dàng có được quyền truy cập của một người dùng bất kỳ.
• Kiểm tra lại danh sách user để xem có account administrator nào mới tạo hay không?
• Thay đổi mật khẩu cả những dịch vụ khác nếu bạn sử dụng chung mật khẩu, ví dụ WordPress và Gmail.
• Nên kích hoạt bảo mật 2 lớp khi đăng nhập nếu được.
• Kiểm tra malware sử dụng các công cụ quét tự động.
• Kiểm tra file hệ thống, bao gồm thư mục wp-content/plugins, wp-content/themes và wp-content/mu-plugins, để đảm bảo không có plugin hay file ẩn nào xuất hiện, vì tụi hacker hay dùng file này để duy trì kiểm soát về sau.
• Nếu nhận email lạ hãy cẩn thận kiểm tra, vì toàn bộ dữ liệu email của bạn và người dùng đều bị lộ, có thể bị hacker khai thác.