Η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) θα απαιτήσει από τον κολοσσό φιλοξενίας ιστοσελίδων GoDaddy να εφαρμόσει βασικές προστασίες ασφαλείας, όπως έλεγχο ταυτότητας πολλαπλών παραγόντων και API HTTPS, για να διακανονίσει τις χρεώσεις που απέτυχε να εξασφαλίσει τις υπηρεσίες φιλοξενίας του από επιθέσεις από το 2018.
Η FTC λέει ότι οι ισχυρισμοί της εταιρείας που εδρεύει στην Αριζόνα για εύλογες πρακτικές ασφάλειας παραπλάνησαν επίσης εκατομμύρια πελάτες φιλοξενίας ιστοσελίδων, επειδή η GoDaddy ήταν «τυφλή σε ευπάθειες και απειλές στο περιβάλλον φιλοξενίας της» λόγω της αδυναμίας της να εφαρμόσει τυπικά εργαλεία και πρακτικές ασφαλείας.
“Εκατομμύρια εταιρείες, ιδιαίτερα μικρές επιχειρήσεις, βασίζονται σε παρόχους φιλοξενίας ιστοσελίδων όπως η GoDaddy για να εξασφαλίσουν τους ιστότοπους στους οποίους βασίζονται οι ίδιοι και οι πελάτες τους.” είπε Samuel Levine, Διευθυντής του Γραφείου Προστασίας Καταναλωτών της FTC.
«Η FTC ενεργεί σήμερα για να διασφαλίσει ότι εταιρείες όπως η GoDaddy ενισχύουν τα συστήματα ασφαλείας τους για την προστασία των καταναλωτών σε όλο τον κόσμο».
Σύμφωνα με την FTC καταγγελίαοι παράλογες πρακτικές ασφαλείας της GoDaddy περιλάμβαναν την αποτυχία χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), τη διαχείριση ενημερώσεων λογισμικού, την καταγραφή συμβάντων που σχετίζονται με την ασφάλεια, την τμηματοποίηση του δικτύου της, την παρακολούθηση για απειλές ασφαλείας (συμπεριλαμβανομένης της αποτυχίας χρήσης λογισμικού που θα μπορούσε να εντοπίσει ενεργά απειλές από τα πολλά αρχεία καταγραφής) και χρησιμοποιήστε την παρακολούθηση ακεραιότητας αρχείων.
Η εταιρεία επίσης απέτυχε να καταγράψει και να διαχειριστεί περιουσιακά στοιχεία, να αξιολογήσει τους κινδύνους για τις υπηρεσίες φιλοξενίας ιστοτόπων της και να ασφαλίσει τις συνδέσεις με υπηρεσίες που παρέχουν πρόσβαση σε δεδομένα καταναλωτών.
Οι χαλαρές πρακτικές ασφαλείας οδήγησαν σε πολλαπλές παραβιάσεις
Η FTC λέει ότι, μεταξύ 2019 και 2022, αυτές οι αστοχίες ασφάλειας δεδομένων οδήγησαν σε αρκετές σημαντικές παραβιάσεις της ασφάλειας, με αποτέλεσμα οι φορείς απειλών να αποκτήσουν πρόσβαση στους ιστότοπους και τα δεδομένα των πελατών.
Για παράδειγμα, τον Φεβρουάριο του 2023, ο γίγαντας φιλοξενίας αποκάλυψε ότι άγνωστοι εισβολείς έκλεψαν τον πηγαίο κώδικα και εγκατέστησαν κακόβουλο λογισμικό σε παραβιασμένους διακομιστές αφού παραβίασαν το κοινόχρηστο περιβάλλον φιλοξενίας του cPanel σε μια πολυετή παραβίαση.
Η εταιρεία είπε ότι ανακάλυψε την παραβίαση μόνο στις αρχές Δεκεμβρίου 2022 αφού έλαβε καταγγελίες πελατών ότι οι ιστότοποί τους χρησιμοποιούνταν για ανακατεύθυνση σε άγνωστους τομείς.
Η GoDaddy αποκάλυψε επίσης τότε ότι οι παραβιάσεις ασφαλείας που αποκαλύφθηκαν τον Νοέμβριο του 2021 και τον Μάρτιο του 2020 συνδέονταν επίσης με αυτήν την καμπάνια.
Η παραβίαση του Νοεμβρίου 2021 επηρέασε 1,2 εκατομμύρια πελάτες διαχειριζόμενου WordPress. Οι εισβολείς εισέβαλαν στο περιβάλλον φιλοξενίας του GoDaddy χρησιμοποιώντας έναν παραβιασμένο κωδικό πρόσβασης και έλαβαν διευθύνσεις email, κωδικούς πρόσβασης διαχειριστή WordPress, διαπιστευτήρια sFTP και βάσης δεδομένων και ιδιωτικά κλειδιά SSL από ορισμένους πελάτες.
Μετά την παραβίαση του Μαρτίου 2020, η GoDaddy ειδοποίησε 28.000 πελάτες ότι ένας εισβολέας χρησιμοποίησε τα διαπιστευτήριά τους για τη φιλοξενία ιστού για να συνδεθεί μέσω SSH τον Οκτώβριο του 2019.
Σύμφωνα με μια προτεινόμενη εντολή διακανονισμούη FTC θα απαιτήσει από την GoDaddy να δημιουργήσει ένα ισχυρό πρόγραμμα ασφάλειας πληροφοριών και απαγορεύει στην εταιρεία να παραπλανά τους πελάτες σχετικά με τις προστασίες ασφαλείας της. Η εντολή επιβάλλει επίσης στην GoDaddy να προσλάβει έναν ανεξάρτητο τρίτο αξιολογητή για τη διεξαγωγή διετών ανασκοπήσεων του προγράμματος ασφάλειας πληροφοριών της.
Τον Δεκέμβριο, η FTC διέταξε επίσης τη Marriott International και τη Starwood Hotels να εφαρμόσουν ένα ισχυρό πρόγραμμα ασφάλειας δεδομένων μετά από αποτυχίες που οδήγησαν σε μαζικές παραβιάσεις δεδομένων το 2014 και το 2018, αποκαλύπτοντας πάνω από 340 εκατομμύρια αρχεία επισκεπτών.
Η Marriott συμβιβάστηκε με την FTC τον Οκτώβριο του 2014 και συμφώνησε να πληρώσει 52 εκατομμύρια δολάρια σε 49 πολιτείες για την επίλυση αξιώσεων που σχετίζονται με αυτές τις παραβιάσεις δεδομένων.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
