idNSA.id - Raksasa hosting web GoDaddy pada hari Senin mengungkapkan pelanggaran data yang mengakibatkan akses tidak sah terhadap data milik total 1,2 juta pelanggan aktif dan tidak aktif, menjadikannya insiden keamanan ketiga yang terungkap sejak 2018.
Dalam pengajuan dengan Komisi Sekuritas dan Pertukaran AS (SEC), pencatat domain terbesar di dunia mengatakan bahwa pihak ketiga yang jahat berhasil mendapatkan akses ke lingkungan hosting WordPress Terkelola pada 6 September dengan bantuan kata sandi yang disusupi, menggunakannya untuk memperoleh informasi sensitif yang berkaitan dengan pelanggannya. Belum jelas apakah kata sandi yang disusupi diamankan dengan otentikasi dua faktor.
Perusahaan yang berbasis di Arizona ini mengklaim lebih dari 20 juta pelanggan, dengan lebih dari 82 juta nama domain terdaftar menggunakan layanannya.
GoDaddy mengungkapkan telah menemukan pembobolan pada 17 November. Investigasi atas insiden tersebut sedang berlangsung dan perusahaan mengatakan "menghubungi semua pelanggan yang terkena dampak secara langsung dengan detail spesifik." Informasi berikut diyakini telah diakses oleh penyusup —
- Alamat email dan nomor pelanggan hingga 1,2 juta pelanggan WordPress Terkelola aktif dan tidak aktif.
- Kata sandi Admin WordPress asli yang ditetapkan pada saat penyediaan terungkap
- sFTP dan nama pengguna dan kata sandi basis data yang terkait dengan pelanggan aktifnya, dan
- Kunci pribadi SSL untuk sebagian pelanggan aktif
GoDaddy mengatakan sedang dalam proses menerbitkan dan memasang sertifikat baru untuk pelanggan yang terkena dampak. Sebagai tindakan pencegahan, perusahaan juga menyatakan telah mengatur ulang kata sandi yang terpengaruh dan memperkuat sistem penyediaannya dengan perlindungan keamanan tambahan.
Menurut CEO Wordfence Mark Maunder, "GoDaddy menyimpan kata sandi sFTP sedemikian rupa sehingga versi plaintext dari kata sandi dapat diambil, daripada menyimpan hash asin dari kata sandi ini, atau menyediakan otentikasi kunci publik, yang keduanya merupakan praktik terbaik industri."
Sementara pelanggaran data tidak lagi terjadi secara sporadis, paparan alamat email dan kata sandi menghadirkan risiko serangan phishing, belum lagi memungkinkan penyerang untuk menembus situs WordPress yang rentan untuk mengunggah malware dan mengakses informasi pengenal pribadi lainnya yang tersimpan di dalamnya.
Di situs di mana kunci pribadi SSL terbuka, penyerang dapat mendekripsi traffic menggunakan kunci pribadi SSL yang dicuri, asalkan mereka berhasil melakukan serangan man-in-the-middle (MITM) yang memotong traffic terenkripsi antara pengunjung situs dan situs yang terpengaruh," kata Maunder.
Pelanggaran data di perusahaan hosting web GoDaddy mungkin berjalan lebih dalam daripada yang sejauh ini telah disiapkan perusahaan, karena beberapa anak perusahaan dari layanan WordPress Terkelola perusahaan, termasuk 123Reg, Pabrik Domain, Internet, Eropa Host, Kuil Media, dan tsoHost, telah ditemukan terpengaruh.
GoDaddy mengatakan kepada Wordfence bahwa "sejumlah kecil pengguna WordPress Terkelola yang aktif dan tidak aktif di merek-merek itu terpengaruh," meskipun tidak jelas persis berapa banyak pengguna tambahan yang mungkin memiliki detail sensitif mereka setelah insiden keamanan.