安全博客krebsonsecurity报道,全球最大网站托管暨域名名注册商godaddy托管的加密货币交换平台客户本月先后被黑,元凶疑似是godaddy将域名控制权误交给了黑客。
受害者是加密货币交换平台liquid.com与nicehash。根据liquid.com首席执行官mike kayamori 2周前公告指出,本月13日托管其核心域名名的godaddy误将该公司账号及域名控制权交给了恶意人士,让后者得以变更dns记录、控制他们多个内部邮件账号。在这场黑入事件中,虽然这家数字交易平台表示,客户资金、电子钱包等没有受到影响,但攻击者得以入侵该公司部分基础架构,并且访问了文件存储系统。
而nicehash则在上周公告,他们在godaddy的域名注册记录未经授权遭到修改,而使得通往该公司的电子邮件和网页流量被导向恶意网站,使他们一度取消了用户提款的服务。
该公司创办人指出,非授权变更是来自godaddy某个ip,黑客企图访问nichhash电子邮件以变更第三方服务,像是slack和github的密码。但是刚好godaddy当时(11月17日)发生大规模停机,无法上网,所以不太可能是godaddy所为,他们立即发现是黑客攻击,所有信件都被导向一个名为privateemail“.”com的域名。
根据这个线索,krebsonsecurity追查2周前所有电子邮件记录被变更的godaddy域名托管客户,最后比对最受欢迎网站清单,发现受害者还不只上述两家。攻击者的目标还包括其他加密货币交易平台,包括bibox.com、celsius.network及wirex.app等。
godaddy坦承,在“少数”公司员工上了社交工程诈骗邮件的当后,“少部分”客户域名名遭到变更。该公司也表示已立即封锁了此次事件中受影响的客户账号,并协助客户重新取回控制权。但godaddy澄清上周的断线事件并非安全事件,仅为预期性的网络维修。
godaddy员工如何“误交出”客户信息目前不得而知。但新冠肺炎疫情让其员工成为攻击目标。受到疫情影响,godaddy和许多科技公司一样让员工在家远程作业,这也使他们的员工更容易遭到佯称是公司it部门寄来的诈骗邮件或打来的诈骗电话。
另外,2019年4月也曾有黑客以钓鱼信件骗得godaddy员工帐密,以变更并挟持其他企业客户的dns服务器。
godaddy今年5月也通知网站托管客户,他们的账号被不明人士使用其帐密进行ssh访问,媒体报道时间发生在去年10月。而这次事件共影响2.8万家托管客户。
来源:https://baijiahao.baidu.com/s?id=1684137320259565588&wfr=spider&for=pc
试用申请
产品咨询:4000 258 365 