La Comisión Federal de Comercio (FTC) exigirá al gigante de alojamiento web GoDaddy que implemente protecciones de seguridad básicas, incluidas las API HTTPS y la autenticación multifactor obligatoria, para resolver los cargos de que no protegió sus servicios de alojamiento contra ataques desde 2018.
La FTC dice que las afirmaciones de la empresa con sede en Arizona sobre prácticas de seguridad razonables también engañaron a millones de clientes de alojamiento web porque GoDaddy, en cambio, «no se dio cuenta de las vulnerabilidades y amenazas en su entorno de alojamiento debido a sus fallas en la implementación de herramientas y prácticas de seguridad estándar».
Según la denuncia de la FTC, las prácticas de seguridad poco razonables de GoDaddy incluían no utilizar la autenticación multifactor (MFA), no gestionar las actualizaciones de software, no registrar los eventos relacionados con la seguridad, no segmentar su red, no monitorear las amenazas a la seguridad (incluso al no utilizar software que pudiera detectar activamente las amenazas a partir de sus numerosos registros) y no utilizar el monitoreo de la integridad de los archivos.
La empresa también falló en inventariar y administrar los activos, no evaluar los riesgos para sus servicios de alojamiento de sitios web y no proteger las conexiones a los servicios que brindan acceso a los datos de los consumidores.
Las prácticas de seguridad laxas provocaron múltiples infracciones
La FTC afirma que, entre 2019 y 2022, estas fallas de seguridad de los datos provocaron varias infracciones de seguridad importantes, lo que provocó que los actores de amenazas obtuvieran acceso a los sitios web y los datos de los clientes.
Por ejemplo, en febrero de 2023, el gigante del alojamiento reveló que atacantes desconocidos robaron el código fuente e instalaron malware en servidores comprometidos después de vulnerar su entorno de alojamiento compartido cPanel en una infracción que duró varios años.
La empresa dijo que solo descubrió la infracción a principios de diciembre de 2022 después de recibir quejas de los clientes de que sus sitios web se estaban utilizando para redirigir a dominios desconocidos.
GoDaddy también reveló en ese momento que las infracciones de seguridad reveladas en noviembre de 2021 y marzo de 2020 también estaban vinculadas a esta campaña.
La infracción de noviembre de 2021 afectó a 1,2 millones de clientes de WordPress administrado. Los atacantes hackearon el entorno de alojamiento de GoDaddy utilizando una contraseña comprometida y obtuvieron direcciones de correo electrónico, contraseñas de administrador de WordPress, credenciales de sFTP y de base de datos, y claves privadas SSL de algunos clientes.
Tras la violación de seguridad de marzo de 2020, GoDaddy notificó a 28.000 clientes que un atacante utilizó sus credenciales de alojamiento web para conectarse a través de SSH en octubre de 2019.
MFA obligatoria para empleados y clientes
Según una orden de conciliación propuesta, la FTC exigirá a GoDaddy que establezca un programa de seguridad de la información sólido y prohíbe a la empresa engañar a los clientes sobre sus protecciones de seguridad. La orden también exige que GoDaddy contrate a un asesor externo independiente para realizar revisiones bienales de su programa de seguridad de la información.
La empresa también debe agregar MFA obligatoria para todos los clientes, empleados y personal de contratistas «a cualquier herramienta o activo de soporte del Servicio de alojamiento, incluida la conexión a cualquier base de datos y al menos un método que no requiera que el cliente proporcione un número de teléfono, como la integración de aplicaciones de autenticación o permitir el uso de una clave de seguridad».
En diciembre, la FTC también ordenó a Marriott International y Starwood Hotels que implementaran un sólido programa de seguridad de datos luego de las fallas que llevaron a violaciones masivas de datos en 2014 y 2018, exponiendo más de 340 millones de registros de huéspedes.
Marriott llegó a un acuerdo con la FTC en octubre de 2014 y acordó pagar $52 millones a 49 estados para resolver reclamos relacionados con estas violaciones de datos.
Fuente y redacción: segu-info.com.ar
