美國FTC提告GoDaddy長年網路安全防護不足

美國聯邦貿易委員會 (FTC) 日前宣布，將要求網際網路域名註冊及網頁代管大廠 GoDaddy 實施基本的安全保護措施，包括啟用 HTTPS API 和強制多因素身份驗證，以解決其自 2018 年以來未能保護其代管服務免受攻擊的缺陷。

FTC 表示，這家總部位於亞利桑那州的公司聲稱有合理的安全措施，卻誤導了數百萬網路代管客戶。GoDaddy 由於未能落實標準的安全工具和做法，反而「對其代管環境中的漏洞和威脅視而不見」。

FTC 表示，超過數百萬家公司，尤其是小型企業，都仰賴 GoDaddy 等網路代管商來保護他們和客戶所依賴的網站安全。FTC採取行動，以確保 GoDaddy 等公司強化其安全系統，保護全球消費者。

根據 FTC 的申訴，GoDaddy 不合理的安全做法包括未能使用多因素身份驗證 (MFA)、管理軟體更新、記錄安全相關事件、分割網路、監控安全威脅(包括未能使用軟體主動偵測其許多日誌中的威脅)以及使用檔案完整性監控。

該公司還未能清點和管理資產、評估其網站代管服務的風險，以及保護與提供消費者資料存取權的服務之間的連線。

FTC 表示，在 2019 年至 2022 年間，這些資料安全疏失導致多起重大安全漏洞事故，導致威脅者得以存取客戶的網站和資料。

例如在 2023 年 2 月，GoDaddy自己披露，已遭多年網路駭侵，不明攻擊者已竊取了原始程式碼，並在自家的 cPanel 共享代管環境的受損伺服器上安裝了惡意軟體。GoDaddy當時表示，直到 2022 年 12 月初收到客戶投訴他們的網站被用來重新導向到未知網域，才發現這起入侵事件。

GoDaddy 當時還透露，2021 年 11 月和 2020 年 3 月披露的安全漏洞也與這起攻擊行動有關。

根據擬議的和解書內容，FTC 將要求 GoDaddy 建立健全的資訊安全計畫，禁止該公司誤導客戶其安全保護措施。該命令還規定 GoDaddy 必須聘請獨立第三方評估人員，每兩年對其資訊安全計畫進行一次稽核。

該公司還必須為所有客戶、員工和承包商強制實施多因素身份驗證，才能存取任何支援代管服務的工具或資產，包括連線到任何資料庫。MFA 至少要有一種方法不需要客戶提供電話號碼，例如整合驗證應用程式或允許使用安全金鑰。

本文轉載自bleepingcomputer。