La Comisión Federal de Comercio (FTC) exigirá al gigante de alojamiento web
GoDaddy que implemente protecciones de seguridad básicas, incluidas las API
HTTPS y la autenticación multifactor obligatoria, para resolver los cargos de
que no protegió sus servicios de alojamiento contra ataques desde 2018. Nosotros lo contábamos en 2015.
La FTC dice que las afirmaciones de la empresa con sede en Arizona sobre
prácticas de seguridad razonables también engañaron a millones de clientes de
alojamiento web porque GoDaddy, en cambio,
«no se dio cuenta de las vulnerabilidades y amenazas en su entorno de
alojamiento debido a sus fallas en la implementación de herramientas y
prácticas de seguridad estándar».
Según la
denuncia de la FTC, las prácticas de seguridad poco razonables de GoDaddy incluían no
utilizar la autenticación multifactor (MFA), no gestionar las
actualizaciones de software, no registrar los eventos relacionados con la
seguridad, no segmentar su red, no monitorear las amenazas a la seguridad
(incluso al no utilizar software que pudiera detectar activamente las
amenazas a partir de sus numerosos registros) y no utilizar el monitoreo de
la integridad de los archivos.
La empresa también falló en inventariar y administrar los activos, no evaluar
los riesgos para sus servicios de alojamiento de sitios web y no proteger las
conexiones a los servicios que brindan acceso a los datos de los consumidores.
Las prácticas de seguridad laxas provocaron múltiples infracciones
La FTC afirma que, entre 2019 y 2022, estas fallas de seguridad de los datos
provocaron varias infracciones de seguridad importantes, lo que provocó que
los actores de amenazas obtuvieran acceso a los sitios web y los datos de los
clientes.
Por ejemplo, en febrero de 2023, el gigante del alojamiento reveló que
atacantes desconocidos robaron el código fuente e instalaron malware en
servidores comprometidos
después de vulnerar su entorno de alojamiento compartido cPanel en una
infracción que duró varios años.
La empresa dijo que solo descubrió la infracción a principios de diciembre de
2022 después de recibir quejas de los clientes de que sus sitios web se
estaban utilizando para redirigir a dominios desconocidos.
GoDaddy también reveló en ese momento que las infracciones de seguridad
reveladas en noviembre de 2021 y marzo de 2020 también estaban vinculadas a
esta campaña.
La
infracción de noviembre de 2021
afectó a 1,2 millones de clientes de WordPress administrado. Los atacantes
hackearon el entorno de alojamiento de GoDaddy utilizando una contraseña
comprometida y obtuvieron direcciones de correo electrónico, contraseñas de
administrador de WordPress, credenciales de sFTP y de base de datos, y claves
privadas SSL de algunos clientes.
Tras la
violación de seguridad de marzo de 2020, GoDaddy notificó a 28.000 clientes que un atacante utilizó sus credenciales
de alojamiento web para conectarse a través de SSH en octubre de 2019.
MFA obligatoria para empleados y clientes
Según una
orden de conciliación propuesta, la FTC exigirá a GoDaddy que establezca un programa de seguridad de la
información sólido y prohíbe a la empresa engañar a los clientes sobre sus
protecciones de seguridad. La orden también exige que GoDaddy contrate a un
asesor externo independiente para realizar revisiones bienales de su programa
de seguridad de la información.
La empresa también debe agregar MFA obligatoria para todos los clientes,
empleados y personal de contratistas
«a cualquier herramienta o activo de soporte del Servicio de alojamiento,
incluida la conexión a cualquier base de datos y al menos un método que no
requiera que el cliente proporcione un número de teléfono, como la
integración de aplicaciones de autenticación o permitir el uso de una clave
de seguridad».
En diciembre, la FTC también ordenó a Marriott International y Starwood Hotels
que implementaran un sólido programa de seguridad de datos luego de las fallas
que llevaron a violaciones masivas de datos en 2014 y 2018,
exponiendo más de 340 millones de registros de huéspedes.
Marriott llegó a un acuerdo con la FTC en octubre de 2014 y
acordó pagar $52 millones
a 49 estados para resolver reclamos relacionados con estas violaciones de
datos.
Fuente:
BC