സെപ്തംബര് 6-ഓടെ ഗോഡാഡിയുടെ സിസ്റ്റങ്ങളിലേക്ക് ആക്സസ് ലഭിക്കാന് അനധികൃത വ്യക്തി അപഹരിക്കപ്പെട്ട പാസ്വേഡ് ഉപയോഗിച്ചതായി ഗോഡാഡി പറഞ്ഞു.
വെബ് ഹോസ്റ്റിംഗ് ഭീമനായ ഗോഡാഡിയില് (GoDady) വന് വിവര ചോര്ച്ച (data breach). കമ്പനി തന്നെയാണ് ഇത് റിപ്പോര്ട്ട് ചെയ്തത്. 1.2 ദശലക്ഷം ഉപഭോക്താക്കളുടെ ഡാറ്റകളാണ് ഇന്റര്നെറ്റില് (Internet) ചോര്ന്നിരിക്കുന്നതെന്നും ഇത് ആര്ക്കും ഉപയോഗിക്കാന് കഴിയുന്ന രീതിയില് ഇപ്പോള് ലഭ്യമായെന്നും കമ്പനി വെളിപ്പെടുത്തുന്നു.
സെക്യൂരിറ്റീസ് ആന്റ് എക്സ്ചേഞ്ച് കമ്മീഷനിലെ ഫയലിംഗില്, ഗോഡാഡിയുടെ ചീഫ് ഇന്ഫര്മേഷന് സെക്യൂരിറ്റി ഓഫീസര് ഡിമെട്രിയസ് കംസ്, ഉപഭോക്താക്കളുടെ വേര്ഡ്പ്രസ്സ് സെര്വറുകളിലാണ് അനധികൃത കടന്നുകയറ്റം കണ്ടെത്തിയത് എന്ന് പറയുന്നു. ഇത് നിരവധി സൈറ്റുകള് ഹോസ്റ്റുചെയ്യുകയും നിയന്ത്രിക്കുകയും ചെയ്യുന്ന സിസ്റ്റങ്ങളിലേക്ക് കടന്നുകയറാനുള്ള അവസരം ഒരുക്കുന്നുവെന്ന് ഗോഡാഡി പറയുന്നു. ബ്ലോഗുകളോ വെബ്സൈറ്റുകളോ സജ്ജീകരിക്കാന് ദശലക്ഷക്കണക്കിന് ആളുകള് ഉപയോഗിക്കുന്ന ഒരു വെബ് അധിഷ്ഠിത കണ്ടന്റ് മാനേജുമെന്റ് സിസ്റ്റമാണ് വേര്ഡ്പ്രസ്. ഇതിലാണ് ഗുരുതരമായ ഡേറ്റാ ലംഘനം കണ്ടെത്തിയത്. ഗോഡാഡി ഉപഭോക്താക്കളെ അവരുടെ സെര്വറുകളില് സ്വന്തം വേര്ഡ്പ്രസ്സ് ഇന്സ്റ്റാള് ചെയ്യാന് അനുവദിക്കുന്നുണ്ട്.
undefined
സെപ്തംബര് 6-ഓടെ ഗോഡാഡിയുടെ സിസ്റ്റങ്ങളിലേക്ക് ആക്സസ് ലഭിക്കാന് അനധികൃത വ്യക്തി അപഹരിക്കപ്പെട്ട പാസ്വേഡ് ഉപയോഗിച്ചതായി ഗോഡാഡി പറഞ്ഞു. കഴിഞ്ഞ ആഴ്ച നവംബര് 17-നാണ് ലംഘനം കണ്ടെത്തിയത്. പാസ്വേഡ് ടു-ഫാക്ടര് ആധികാരികതയോടെ ഉപയോഗിച്ചിട്ടുണ്ടോ എന്ന് വ്യക്തമല്ല.
ഈ സുരക്ഷ ലംഘനം 1.2 ദശലക്ഷം സജീവവും നിഷ്ക്രിയവുമായ മാനേജ്മെന്റ് വേര്ഡ്പ്രസ്സ് ഉപയോക്താക്കളെ ബാധിക്കുന്നുവെന്നും, അവരുടെ ഇമെയില് വിലാസങ്ങളും ഉപഭോക്തൃ നമ്പറുകളും ഇത് തുറന്നുകാട്ടപ്പെട്ടുവെന്നും കമ്പനി പറയുന്നു. ഈ വിവര ചോര്ച്ച ഉപയോക്താക്കള്ക്കെതിരെ ഫിഷിംഗ് ആക്രമണത്തിന് കൂടുതല് സാധ്യത നല്കിയേക്കാമെന്ന് ഗോഡാഡി പറഞ്ഞു. ഒരു ഉപഭോക്താവിന്റെ വേര്ഡ്പ്രസ്സ് സെര്വര് ആക്സസ് ചെയ്യാന് ഉപയോഗിക്കാവുന്ന യഥാര്ത്ഥ വേര്ഡ്പ്രസ്സ് അഡ്മിന് പാസ്വേഡും ഇപ്പോള് തുറന്നുകാട്ടിയെന്നും ഇവര് വ്യക്തമാക്കുന്നു
എഫ്ടിപി ക്രെഡന്ഷ്യലുകളും (ഫയല് കൈമാറ്റങ്ങള്ക്കായി), ഉപയോക്താക്കളുടെ എല്ലാ ഉള്ളടക്കവും സംഭരിക്കുന്ന അവരുടെ വേര്ഡ്പ്രസ്സ് ഡാറ്റാബേസുകളുടെ ഉപയോക്തൃനാമങ്ങളും പാസ്വേഡുകളും ലംഘനത്തില് വെളിപ്പെട്ടതായി കമ്പനി പറഞ്ഞു. ചില സന്ദര്ഭങ്ങളില്, ഉപഭോക്താവിന്റെ എസ്എസ്എല് സ്വകാര്യ കീ വരെ തുറന്നുകാട്ടപ്പെട്ടു, അത് ദുരുപയോഗം ചെയ്താല് ഒരു ഉപഭോക്താവിന്റെ വെബ്സൈറ്റിലോ സേവനങ്ങളിലോ ആള്മാറാട്ടം നടത്താന് ആക്രമണകാരിയെ അനുവദിക്കും. ഇത് ഉപഭോക്തൃ വേര്ഡ്പ്രസ്സ് പാസ്വേഡുകളും സ്വകാര്യ കീകളും പുനഃസജ്ജമാക്കുകയാണെന്നും പുതിയ എസ്എസ്എല് സര്ട്ടിഫിക്കറ്റുകള് നല്കുന്ന പ്രക്രിയയിലാണെന്നും ഗോഡാഡി പറഞ്ഞു.