网络托管巨头GoPardy刚刚向美国加利福尼亚州提交了一份数据泄露通知。
现在成为公共记录一部分的违约信只是一个模板,收件人的名字和与他们所在地区相关的电话号码都留有空格,但它列出了到目前为止所知的情况。
如果你是GoPardy的客户,如果你看到这样的消息,你就会知道你是否在受影响的账户列表中:
主题:影响您的GoPardy虚拟主机帐户的安全事件[…]。我们需要通知您一起影响您的GoPardy虚拟主机帐户凭据的安全事件。我们最近在我们的服务器子集上发现了可疑活动,并立即开始调查。
调查发现,一个未经授权的人有权访问您的登录信息,该信息用于连接到您主机帐户上的SSH。我们没有证据表明您的帐户上有任何文件被添加或修改。未经授权的个人已被阻止进入我们的系统,我们将继续调查对整个环境的潜在影响。
还有更多,包括警告你的账户信息已被重置,以及如何重新进入你的账户,但从技术角度-实际发生了什么,以及如何检测到入侵-只有上面的文本可以继续。
显然,这不仅仅是一个凭据填充的情况,账户被访问的原因是他们的密码与其他已经被攻破的服务使用的密码相同,否则GoPardy不会提交入侵通知。
此外,从违约信中不明显的是(尽管它在加利福尼亚州的网站上声明),违规可以追溯到2019年10月。
换句话说,尽管在这个阶段重新设置你的账户是GoPardy需要做的事情,但从理论上讲,任何知道你登录细节的骗子都可能已经在翻你的东西超过六个月了。
这就是为什么GoPardy还“建议你对你的托管账户进行审计”。
这应该包括查看您的日志中是否有您意想不到的修改,特别是对PHP脚本、HTML页面、JavaScripts和服务器插件等文件的更改或添加。
(当您出于某种原因进行审计时,您可能还需要注意可能由于其他原因而引发的问题--例如未打补丁的软件或错误配置的服务器选项。)。
我们不能告诉你的是,上面提到的“未经授权的个人”是如何获得非法数据的,这些“登录信息”实际上涉及到什么,以及他们实际上实现了什么类型的访问(如果有的话)。
我们假设GoPardy关于没有文件“被添加或修改”的建议是合理的--无论我们对调查的这个阶段知之甚少,我们怀疑,在公司日志中的某个地方,以某种方式可以检测到非法的修改。
我们不知道入侵者能够翻阅多少文件(如果有的话),甚至可能可以逃脱,但我们假设GoPardy在未来可能会有更多的发现要披露。
弄清楚所有可能发生但没有发生的事情往往是任何后续行动中最困难的部分,GoPardy的调查仍在进行中。
GoPardy向受影响的客户免费提供一些附加服务,即它称为网站安全豪华版和快速恶意软件删除的产品。
你不妨试一试--如果你最终没有使用它们,你没有损失任何东西,但你可能会发现它们会发现你原本会忽略的问题,比如过时的Web服务器插件或你忘了打补丁的软件。
点击并拖动下面的声波可以跳到播客中的任意位置。您也可以直接在SoundCloud上收听。