在美国联邦贸易委员会 (FTC) 日常起诉的公司名单里我们发现了 GoDaddy,没想到这家网络服务托管商和域名注册商也会遭到起诉,所以这还是挺让人惊讶的。日前 FTC 正式对 GoDaddy 提起诉讼指控该公司极差的安全性并将数百万家企业置于危险之中,而 FTC 的目的则是希望通过此次起诉能够敦促 GoDaddy 加强安全系统提升安全性保护全球消费者。
这件事还要追溯到 2023 年的 cPanel 事件:
cPanel 是个服务器管理面板可以帮助用户管理各种网络服务并简化操作,GoDaddy 平台也通过 cPanel 面板为托管客户提供服务。
2023 年 2 月 GoDaddy 透露其内部安全系统遭到黑客渗透,并且有证据表明黑客最早可能在 2019 年已经成功渗透到了 GoDaddy,黑客的行为主要是破坏 cPanel 环境并植入后门用来窃取数据或发起其他攻击。
当然 cPanel 事件只是 GoDaddy 安全系统的一个常规例子,GoDaddy 因为安全系统的问题遭到黑客入侵多次并造成了不少数据泄露。
GoDaddy 近些年出现的安全事故时间线:
最早可能在 2019 年:黑客通过渗透到 GoDaddy 内部系统破坏 cPanel 并植入恶意软件威胁企业网站安全
最早可能在 2019 年:黑客利用凭据通过 SSH 连接托管环境,造成至少约 2.8 万名 GoDaddy 客户受影响
2021 年 11 月:GoDaddy 漏洞泄露 120 万名托管 WordPress 站点的客户,包括邮箱、管理员密码、私钥和数据库密码全部泄露
FTC 通过起诉对 GoDaddy 提出多个要求:
FTC 在起诉书中指控 GoDaddy 不合理的安全措施例如未使用 MFA 验证、不恰当的管理软件更新、未记录安全事件、未隔离网络、未监控安全威胁以及未部署文件完整性监控等,这给数百万个使用 GoDaddy 托管服务的网站造成严重安全威胁。
另外 FTC 还提到由于 GoDaddy 并未实施标准安全工具和措施,导致该公司对其托管环境中的漏洞和威胁视而不见,这些也是 GoDaddy 出现多次安全问题的主要原因。
根据 FTC 拟议的和解方案,GoDaddy 必须建立强大的信息安全计划并禁止在宣传上说自己足够安全避免误导客户,同时还要求 GoDaddy 聘请独立的第三方评估机构每两年对其信息安全计划进行一次审查。
MFA 验证方面,FTC 要求 GoDaddy 供应商、员工、所有客户都必须强制启用 MFA 验证,避免因为密码泄露等问题造成 GoDaddy 系统或客户的数据泄露。
