GoDaddy'deki güvenlik açığı 1.2 milyon kullanıcının verilerinin sızdırılmasına sebep oldu

GoDaddy’nin popüler hizmetlerinden Yönetilebilir WordPress hizmetine yapılan bir saldırıda yaklaşık 1,2 milyon kullanıcının e-posta adresi, müşteri numarası ve WordPress yönetici paneli parolası gibi kritik bilgiler saldırganların eline geçti.

GoDaddy tarafından yapılan resmi açıklamada 17 Kasım 2021’de ortaya çıkan olayda sızdırılan bilgiler şöyle sıralanıyor:

  • 1,2 milyona kadar etkin ve etkin olmayan Yönetilen WordPress müşterisinin e-posta adresleri ve müşteri numaraları
  • Temel hazırlık sırasında belirlenen orijinal WordPress Yönetici parolası
  • Aktif müşteriler için sFTP ve veritabanı kullanıcı adları ve şifreleri
  • Aktif müşterilerin bir alt kümesi için SSL özel anahtarı

GoDaddy, Açığa çıkan kritik bilgilerin yenileri ile değiştirilmesi için aktif olarak çalıştığını da belirtti.

Bu haberi Web Makinası’na ulaştıran İbrahim Hakkı Ergin’e teşekkür ederim.

Firmadan yapılan resmi açıklamanın çevirisi aşağıdadır

GoDaddy, Yönetilen WordPress Hizmetini Etkileyen Güvenlik Olayını Duyurdu

17 Kasım 2021’de, Yönetilen WordPress barındırma ortamımıza yetkisiz üçüncü taraf erişimi keşfettik. İşte neler olduğuna ve buna karşılık olarak attığımız ve attığımız adımlara ilişkin arka plan:

Yönetilen WordPress barındırma ortamımızda şüpheli etkinlik belirledik ve hemen bir adli bilişim firmasının yardımıyla bir soruşturma başlattık ve kolluk kuvvetleriyle iletişime geçtik. Yetkisiz bir üçüncü taraf, güvenliği ihlal edilmiş bir parola kullanarak, Yönetilen WordPress için eski kod tabanımızdaki sağlama sistemine erişti.

Bu olayı tespit ettikten sonra, yetkisiz üçüncü şahısları derhal sistemimizden engelledik. Araştırmamız devam ediyor, ancak 6 Eylül 2021’den itibaren yetkisiz üçüncü tarafın aşağıdaki müşteri bilgilerine erişmek için güvenlik açığını kullandığını belirledik:

  • 1,2 milyona kadar etkin ve etkin olmayan Yönetilen WordPress müşterisinin e-posta adresleri ve müşteri numaraları açığa çıktı. E-posta adreslerinin açığa çıkması, kimlik avı saldırıları riski taşır.
  • Temel hazırlık sırasında belirlenen orijinal WordPress Yönetici parolası açığa çıktı. Bu kimlik bilgileri hala kullanımdaysa, bu parolaları sıfırlarız.
  • Aktif müşteriler için sFTP ve veritabanı kullanıcı adları ve şifreleri açığa çıktı. Her iki şifreyi de sıfırlıyoruz.
  • Aktif müşterilerin bir alt kümesi için SSL özel anahtarı açığa çıktı. Bu müşteriler için yeni sertifikalar verme ve yükleme sürecindeyiz.

Araştırmamız devam ediyor ve etkilenen tüm müşterilerle doğrudan belirli ayrıntılar için iletişime geçiyoruz. Müşteriler, ülkeye göre telefon numaralarını içeren yardım merkezimiz (https://www.godaddy.com/help) aracılığıyla da bizimle iletişime geçebilir.

Bu olay ve müşterilerimiz için neden olduğu endişe için içtenlikle üzgünüz. GoDaddy yönetimi ve çalışanları olarak biz, müşterilerimizin verilerini koruma sorumluluğumuzu çok ciddiye alıyoruz ve onları asla yarı yolda bırakmak istemiyoruz. Bu olaydan ders alacağız ve tedarik sistemimizi ek koruma katmanlarıyla güçlendirmek için şimdiden adımlar atıyoruz.

Demetrius Geliyor
Baş Bilgi Güvenliği Sorumlusu

Açıklamanın kaynağı

Yüzlerce WordPress website, sahte bir şekilde hacklendi

WordPress altyapılı yüzlerce website, “directorist” isimli eklenti yüzünden sahte bir şekilde hacklendi. Ancak güvenlik firması Sucuri’nin yaptığı araştırmada, çözümün çok kolay olduğu ortaya çıktı.

İlgili eklentiyi kuran websitelerde aşağıdaki görseldeki gibi bir sayfa çıkıyor.

Yüzlerce WordPress website, directorist eklentisi yüzünden fidye hacklemesine kurban gitti

Görsel, Sucuri Blog’dan alındı.

Sucuri’nin haberine göre, bu şekilde hacklenen websitelerin girişinde “eski haline kavuşmak için 0.1 bitcoin gönderin” yazan bir mesaj çıkıyor. Bitcoin fiyatı sürekli değişse de, bu haberin yazıldığı anlarda yaklaşık 6.000 Amerikan Doları gibi bir miktara denk geliyor.

Çözümü ise oldukça kolay

Her ne kadar korkunç bir durum da olsa, yapılan araştırmada çözümün oldukça basit olduğu ortaya çıktı.

wp-content/plugins klasöründe bulunan directorist klasörünün ve içindekilerin silinmesi, websitenin kurtulması için yeterli oluyor.

Bunu yaptıktan sonra websiteye girdiğinizde tüm içeriklerin silindiğini göreceksiniz ancak bu doğru değil. Zararlı yazılım, tüm gönderilerin saklandığı veritabanında, gönderilerin durumunu belirten post_status sütununun değerlerini null olarak değiştirmiş. Basit bir SQL sorgusu ile null değerini publish olarak değiştirmek yeterli olacaktır.

UPDATE `wp_posts` SET `post_status` = 'publish' WHERE `post_status` = 'null';

Yapılan araştırmada, saldırganların muhtemelen websitenin parolasını bir şekilde bulduğu tahmin ediliyor.

Websitenizi nasıl korursunuz?

  • Websitenizdeki kullanıcıların parolasını değiştirin.
  • wp-admin sayfanızı koruma altına alın
  • Veritabanı, FTP ve cPanel parolalarınızı değiştirin
  • Sitenizi bir firewall ile koruma altına alın
  • ve tabi ki sitenizi düzenli olarak yedekleyin. Böylece siteniz gerçekten yok edilse bile yedekten geri dönebilirsiniz.

Dün gece (16 Kasım 2021) Twitter kullanıcısı Zet Lorento, Yemek Sepeti’nin hacklendiğine dair duyumlar aldığını yazdı.

Yine gece saatçilerinde Yemek Sepeti’nin resmî Twitter hesabından hacklenme iddiasını yalanlayan bir bildirim gönderildi.