安全博客KrebsonSecurity报道,全球最大网站托管暨域名名注册商GoDaddy托管的加密货币交换平台客户本月先后被黑,元凶疑似是GoDaddy将域名控制权误交给了黑客。
受害者是加密货币交换平台Liquid.com与NiceHash。根据Liquid.com首席执行官Mike Kayamori 2周前公告指出,本月13日托管其核心域名名的GoDaddy误将该公司账号及域名控制权交给了恶意人士,让后者得以变更DNS记录、控制他们多个内部邮件账号。在这场黑入事件中,虽然这家数字交易平台表示,客户资金、电子钱包等没有受到影响,但攻击者得以入侵该公司部分基础架构,并且访问了文件存储系统。
而NiceHash则在上周公告,他们在GoDaddy的域名注册记录未经授权遭到修改,而使得通往该公司的电子邮件和网页流量被导向恶意网站,使他们一度取消了用户提款的服务。
该公司创办人指出,非授权变更是来自GoDaddy某个IP,黑客企图访问NichHash电子邮件以变更第三方服务,像是Slack和GitHub的密码。但是刚好GoDaddy当时(11月17日)发生大规模停机,无法上网,所以不太可能是GoDaddy所为,他们立即发现是黑客攻击,所有信件都被导向一个名为privateemail“.”com的域名。
根据这个线索,KrebsonSecurity追查2周前所有电子邮件记录被变更的GoDaddy域名托管客户,最后比对最受欢迎网站清单,发现受害者还不只上述两家。攻击者的目标还包括其他加密货币交易平台,包括Bibox.com、Celsius.network及Wirex.app等。
GoDaddy坦承,在“少数”公司员工上了社交工程诈骗邮件的当后,“少部分”客户域名名遭到变更。该公司也表示已立即封锁了此次事件中受影响的客户账号,并协助客户重新取回控制权。但GoDaddy澄清上周的断线事件并非安全事件,仅为预期性的网络维修。
GoDaddy员工如何“误交出”客户信息目前不得而知。但新冠肺炎疫情让其员工成为攻击目标。受到疫情影响,GoDaddy和许多科技公司一样让员工在家远程作业,这也使他们的员工更容易遭到佯称是公司IT部门寄来的诈骗邮件或打来的诈骗电话。
另外,2019年4月也曾有黑客以钓鱼信件骗得GoDaddy员工帐密,以变更并挟持其他企业客户的DNS服务器。
GoDaddy今年5月也通知网站托管客户,他们的账号被不明人士使用其帐密进行SSH访问,媒体报道时间发生在去年10月。而这次事件共影响2.8万家托管客户。