A Comissão Federal de Comércio dos Estados Unidos (FTC) impôs um conjunto de medidas rigorosas à GoDaddy, gigante do alojamento web, para que esta reforce a segurança dos seus serviços. A decisão surge na sequência de múltiplas falhas de segurança que, desde 2018, resultaram na exposição de dados de milhões de clientes.
Já em janeiro, a entidade reguladora norte-americana havia acusado a GoDaddy, que serve aproximadamente cinco milhões de clientes, de induzir os utilizadores em erro relativamente às suas práticas de segurança. Segundo a FTC, a empresa demonstrou desconhecimento de vulnerabilidades críticas no seu ambiente de alojamento devido à ausência de medidas de segurança consideradas padrão no setor.
As novas diretrizes de segurança impostas à GoDaddy
A ordem emitida pela FTC proíbe a GoDaddy de prestar informações enganosas aos seus clientes sobre as proteções de segurança implementadas. Mais concretamente, a empresa está agora obrigada a estabelecer um programa de segurança da informação robusto e abrangente.
Entre as exigências contam-se a obrigatoriedade de proteger as Interfaces de Programação de Aplicações (APIs) utilizando o protocolo HTTPS ou outros protocolos de transferência segura. Adicionalmente, a GoDaddy terá de implementar um programa eficaz para a gestão de atualizações de software e firmware em toda a sua infraestrutura.
Para garantir o cumprimento e a eficácia contínua destas medidas, a ordem da FTC estipula que a GoDaddy contrate um avaliador externo e independente. Este terá a responsabilidade de conduzir revisões bienais ao programa de segurança da informação da empresa. Qualquer incidente que resulte na exposição, acesso não autorizado ou roubo de dados de clientes deverá ser comunicado num prazo máximo de 10 dias.
Uma das medidas de maior impacto direto para os utilizadores é a implementação de, pelo menos, um método de autenticação multifator (MFA) obrigatório para todos os clientes, funcionários e pessoal de empresas contratadas. Esta autenticação será exigida para aceder a qualquer ferramenta ou ativo de suporte aos serviços de alojamento, incluindo a ligação a bases de dados. Crucialmente, a GoDaddy terá de oferecer, no mínimo, um método de MFA que não obrigue o cliente a fornecer um número de telemóvel, como a integração com aplicações de autenticação ou o uso de chaves de segurança físicas.
O que falhou na segurança da gigante do alojamento?
De acordo com a queixa formalizada pela FTC, as práticas de segurança da GoDaddy eram manifestamente inadequadas. A investigação revelou lacunas significativas, como a ausência generalizada de autenticação multifator (MFA) e uma gestão deficiente das atualizações de software, o que deixava sistemas vulneráveis a explorações conhecidas.
A empresa falhou também no registo adequado de eventos de segurança, essencial para detetar e responder a incidentes. A FTC apontou ainda a falta de monitorização proativa de ameaças, a não segmentação da sua rede (o que facilita a propagação de ataques), a ausência de monitorização da integridade dos ficheiros, uma gestão inadequada dos seus ativos digitais e a falta de avaliação de riscos nos seus serviços de alojamento. As ligações de serviço aos dados dos consumidores também não eram devidamente protegidas.
Um histórico preocupante de ciberataques e exposição de dados
Estas falhas de segurança, sublinha a FTC, foram a causa direta de várias violações de dados de grande dimensão ocorridas entre 2019 e 2022. Estes incidentes permitiram que piratas informáticos acedessem indevidamente a dados de clientes e aos seus websites.
Um dos casos mais graves foi revelado pela própria GoDaddy em fevereiro de 2023: a empresa admitiu que atacantes não identificados instalaram malware nos seus servidores comprometidos e conseguiram roubar código fonte. Esta intrusão no seu ambiente de alojamento partilhado cPanel prolongou-se durante vários anos. A descoberta deste incidente ocorreu apenas no início de dezembro de 2022, após queixas de clientes cujos websites estavam a ser utilizados para redirecionar visitantes para domínios desconhecidos. Na altura, a GoDaddy também reconheceu que este ataque estava ligado a outras duas violações de segurança divulgadas anteriormente, uma em março de 2020 e outra em novembro de 2021.
Na brecha de novembro de 2021, os atacantes conseguiram infiltrar-se no ambiente de alojamento da GoDaddy utilizando uma palavra-passe comprometida. Como resultado, foram roubados endereços de email, palavras-passe de administrador do WordPress, credenciais sFTP e de bases de dados, e chaves privadas SSL de 1,2 milhões de clientes do serviço Managed WordPress. Já após o incidente de março de 2020, a GoDaddy notificou 28.000 clientes de que um atacante tinha utilizado as suas credenciais de alojamento web para estabelecer uma ligação via SSH em outubro de 2019.
A posição da GoDaddy perante as exigências da FTC
Confrontada com a proposta de acordo da FTC em janeiro, a GoDaddy afirmou, em declarações ao BleepingComputer, que está "constantemente a melhorar as [suas] capacidades de segurança e que já implementou vários dos requisitos" presentes no acordo. A empresa fez questão de sublinhar que "a resolução desta questão não inclui qualquer admissão de culpa nem penalizações monetárias".
Relativamente ao impacto das novas medidas, a GoDaddy declarou: "Esperamos um impacto financeiro mínimo associado ao cumprimento dos termos do acordo com a FTC. Planeamos continuar a investir nas nossas defesas para enfrentar as ameaças em evolução e ajudar a manter os nossos clientes, os seus websites e os seus dados seguros."
Nenhum comentário
Seja o primeiro!