美国联邦贸易委员会(FTC)要求网络托管巨头GoDaddy实施基本的安全保护措施,包括HTTPS API和强制多因素身份验证(MFA),以解决自2018年以来其托管服务未能抵御攻击的问题。
FTC表示,这家总部位于亚利桑那州的公司声称采取了合理的安全措施,但实际上却误导了数百万网络托管客户,因为GoDaddy未能实施标准的安全工具和实践,导致其“对托管环境中的漏洞和威胁视而不见”。
FTC消费者保护局局长塞缪尔·莱文表示:“数百万家公司,特别是小型企业,依赖GoDaddy等网络托管提供商来保护他们和客户所依赖的网站。”
“FTC今天采取行动,确保像GoDaddy这样的公司加强其安全系统,以保护全球消费者。”
根据FTC的投诉,GoDaddy不合理的安全措施包括未使用多因素身份验证(MFA)、未管理软件更新、未记录安全相关事件、未对网络进行分段、未监测安全威胁(包括未使用可从其众多日志中主动检测威胁的软件),以及未使用文件完整性监测。
该公司还未能盘点和管理资产、评估其网站托管服务的风险,并确保访问消费者数据的服务的连接安全。
安全漏洞频发导致多次数据泄露
FTC表示,在2019年至2022年期间,这些数据安全漏洞导致了多次重大安全事件,使得威胁者能够访问客户的网站和数据。
例如,2023年2月,这家托管巨头披露称,未知攻击者在多年来的攻击中突破了其cPanel共享托管环境,窃取源代码并在受感染的服务器上安装恶意软件。
该公司表示,直到2022年12月初收到客户投诉称他们的网站被重定向到未知域名后,才发现这一漏洞。
GoDaddy当时还透露,2021年11月和2020年3月披露的安全漏洞也与这次攻击活动有关。
2021年11月的漏洞影响了120万Managed WordPress客户。攻击者使用被盗密码侵入GoDaddy的托管环境,从一些客户那里获得了电子邮件地址、WordPress管理员密码、sFTP和数据库凭据以及SSL私钥。
在2020年3月的漏洞事件后,GoDaddy通知了2.8万名客户,称攻击者在2019年10月使用他们的网络托管凭据通过SSH进行了连接。
根据拟议的和解令,FTC将要求GoDaddy建立强大的信息安全计划,并禁止该公司误导客户关于其安全保护的说法。该命令还要求GoDaddy聘请独立的第三方评估人员每两年对其信息安全计划进行一次审查。
该公司还被要求为所有客户、员工和承包商员工“在任何支持托管服务的工具或资产上,包括连接到任何数据库时”添加强制性的MFA,并“至少提供一种不需要客户提供电话号码的方法,例如通过集成身份验证应用程序或允许使用安全密钥。”
去年12月,FTC还命令万豪国际和喜达屋酒店实施强大的数据安全计划,以应对2014年和2018年导致超过3.4亿宾客记录泄露的失败事件。
万豪在2014年10月与FTC达成和解,并同意向49个州支付5200万美元,以解决与这些数据泄露相关的索赔。
发表评论