Терористички закани и уцени поради безбедносен пропуст на GoDaddy

Поради проблеми со авторизацијата на GoDaddy последните неколку месеци значителен е бројот на спам пораки. Дел од пораките се закани за бомби и изнудување на пари поради поседување на домашно секс видео.

Проблемот е и поголем од ова. Пропустот кој на напаѓачите им овозможил да дојдат до контрола врз GoDaddy домени е присутен и на дел од популарните страници и на страниците на угледни брендови, пренесе KrebsonSecurity.

Првично овие кампањи започнаа на половината на минатата година. Од јули дел од корисниците се пожалиле дека добиле пошта која започнува со лозинка која ја користеле во минатото. Понатаму во пораката следело дека напаѓачот поседува секс видео од корисникот кое ќе го објави на друштвените мрежи ако не плати неколку биткоини.

На крајот на 2018 година започна уште една спам кампања. Во поштата пристигаа пораки дека зградата/домот во кој живее примачот на пораката има бомба и дека ако не се исплати откуп во биткоин, бомбата ќе биде активирана.

Двете кампањи беа масовни, но она што е изненадување е дека спам поштата не беше пресретната и филтрирана. Причината за ова е што поштата е испраќана од страници кои постојат со години, а се регистрирани дури на Fortune 500 и Fortune 1000 компании.

Безбедносниот експерт Рон Гилмете смета дека за нападот се користи за безбедносен пропуст кој е широко распространет, но и објавен уште во 2016 година.

Безбедносните експерти проценуваат дека се користи истиот пропуст за да испраќаат спам од уште 120 000 домени. Начинот на кој се врши злоупотребата е прилично едноставен. Напаѓачот може да додаде домен на својот профил без никаква проверка. Потоа напаѓачот го користи овој домен за да започне со нападите.

Еве како се одвивал еден од нападите:

Virtualfirefox.com е домен во сопственост на Mozilla, регистриран кај GoDaddy. Секоја година доменот е обновуван, но неколку години е неактивен. Mozilla од самото сетирање ги има и ns17.domaincontrol.com и ns18.domaincontrol.com.

Напаѓачот некој ден во декември 2018 година, креирал нов бесплатен профил. На бесплатниот профил ги приклучил и ns17.domaincontrol.com и ns18.domaincontrol.com и со тоа ги присвоил домените. Потоа започнале да праќаат пошта со овие домени преку адресата која ја контролирале.