圖片來源: 

GoDaddy

資安部落格KrebsonSecurity報導,全球最大網站代管暨網域名註冊商GoDaddy代管的加密貨幣交換平臺客戶本月先後被駭,元兇疑似是GoDaddy將網域控制權誤交給了駭客。

受害者是加密貨幣交換平臺Liquid.com與NiceHash。根據Liquid.com執行長Mike Kayamori 2周前公告指出,本月13日代管其核心網域名的GoDaddy誤將該公司帳號及網域控制權交給了惡意人士,讓後者得以變更DNS紀錄、控制他們多個內部郵件帳號。在這場駭入事件中,雖然這家數位交易平臺表示,客戶資金、電子錢包等沒有受到影響,但攻擊者得以入侵該公司部份基礎架構,並且存取了文件儲存系統。

NiceHash則在上周公告,他們在GoDaddy的網域註冊紀錄未經授權遭到修改,而使得通往該公司的電子郵件和網頁流量被導向惡意網站,使他們一度取消了用戶提款的服務。

該公司創辦人指出,非授權變更是來自GoDaddy 某個IP,駭客企圖存取NichHash電子郵件以變更第三方服務,像是Slack和GitHub的密碼。但是剛好GoDaddy當時(11月17日)發生大規模停機,無法上網,所以不太可能是GoDaddy所為,他們立即察覺是駭客攻擊,所有信件都被導向一個名為privateemail[.]com的網域。

根據這個線索,KrebsonSecurity追查2周前所有電子郵件紀錄被變更的GoDaddy網域代管客戶,最後比對最受歡迎網站清單,發現受害者還不只上述兩家。攻擊者的目標還包括其他加密貨幣交易平臺,包括Bibox.com、Celsius.network及Wirex.app等。

GoDaddy坦承,在「少數」公司員工上了社交工程詐騙郵件的當後,「少部分」客戶網域名遭到變更。該公司也表示已立即封鎖了此次事件中受影響的客戶帳號,並協助客戶重新取回控制權。但GoDaddy澄清上周的斷線事件並非資安事件,僅為預期性的網路維修。

GoDaddy員工如何「誤交出」客戶資訊目前不得而知。但武漢肺炎疫情讓其員工成為攻擊目標。受到疫情影響,GoDaddy和許多科技公司一樣讓員工在家遠端作業,這也使他們的員工更容易遭到佯稱是公司IT部門寄來的詐騙郵件或打來的詐騙電話。

另外,2019年4月也曾有駭客以釣魚信件騙得GoDaddy員工帳密,以變更並挾持其他企業客戶的DNS伺服器。

GoDaddy今年5月也通知網站代管客戶,他們的帳號被不明人士使用其帳密進行SSH存取,媒體報導時間發生在去年10月。而這次事件共影響2.8萬家代管客戶。


Advertisement

更多 iThome相關內容