מכה שנית: ההאקר שפרץ ל-GoDaddy חושף את קוד המקור

בעקבות הכחשת GoDaddy שנפילת שירותי החברה נבעה מפריצתו של האקר, חושף האחרון את קוד המקור של החברה

GoDaddy

AnounymousOwn3r, ההאקר שעומד מאחורי הפריצה לשרתי GoDaddy מכה שנית – יום לאחר שהפיל את שרתי החברה וגרם לכך שמיליוני אתרים הרשומים תחת שירות האחסון לא יעבדו – פרץ לשרתי החברה, שינה מספר דפים באתר GoDaddy והדליף את קוד המקור שלו ואת בסיס הנתונים באתר שיתוף קבצים.

ההאקר נימק את הפריצה בכך ש-GoDaddy לא הודו שפרצו להם לשרתים של החברה, אלא רק הודיעו כי “יש להם תקלות טכניות שמשפיעות על מספר המשתמשים”, ושלחו מייל מתנצל לכל הלקוחות עם קרדיט לחודש שלם על כלל השירותים אליהם הם רשומים, ולכן החליט לפרוץ לשרתי החברה ולפרסם בפומבי את קוד המקור. אולי העניין היותר מלחיץ בכל הסיפור, הוא שההאקר גם סיפר כי בידיו נמצא בסיס הנתונים של GoDaddy אף הוא וגם אותו פירסם בפומבי.

GoDaddy הכחישו, ההאקר התעצבן

הפריצה התרחשה אתמול, בסביבות השעה 22:00 בערב שעון ישראל, אז דיווח ההאקר כי GoDaddy הכחישה כי המתקפה שהתרחשה שלשום נובעת ממתקפה על השרתים שלהם. GoDaddy, בחרה לעדן ולהציג בצורה מעט שונה את הפגיעה בה על מנת שלא לפגוע בתדמית ובאמינות של השירות והאבטחה בפני המשתמשים, ובכך לצמצם אובדן לקוחות (למרות שמשתמשים רבים כבר עברו לשירותי אחסון אחרים). מסתבר כי ההכחשה של GoDaddy עוררה את זעמו של מי שעמד מאחורי הפריצה, שבחר לפרסם את הציוץ הבא:

 ישר לאחר מכן, צייץ ההאקר כי יש לאתר GoDaddy “אינדקס חדש”, והראה כי פרץ לאתר. כמו כן, העלה בדיקת סקריפט שבודק פגיעות להזרקות SQL, את ההרצה תוכלו למצוא כאן. הסקריפט גילה 51 פירצות באבטחה של האתר, ומיד לאחר מכן הדליף האחרון את קוד המקור של האתר עצמו. כמובן שמאז קוד המקור הורד ע”י אתר שיתוף הקבצים שאליו הועלה, אך ללא ספק כל העניין הזה מדליק נורה אדומה נוספת בקרב האנשים המנויים לשירות.

פרוץ. GoDaddy. מקור: הטוויטר של AnounymouseOwn3r

אז איך מעבירים את הדומיין שלי לשירות אחר?

אם אתם רשומים תחת אחד מהשירותים של החברה, בין אם זה שירות האחסון, שירות הדומיינים או שירות הדואר האלקטרוני שהחברה מציעה, ואתם פוחדים (ובצדק) על בסיס הנתונים שלכם שעלול להכיל סיסמאות, מידע אישי ופרטי כרטיס אשראי, יתכן והמהלך הנכון הוא להתנתק מ-GoDaddy. הדבר הראשון שעליכם לוודא בתור בוני אתרים / בעלי אתרים עצמאיים תחת אחסון GoDaddy הוא שיש לכם גיבוי מלא של האתר ושל בסיס הנתונים של האתר, אם קיים כזה. במידה ולא, היינו ממליצים במהירות לגבות את הנתונים למחשב.

עפ”י תקנות איגוד האינטרנט העולמי, ICANN, אין מגבלות על העברת שירות דומיין מרשם אחד למשנהו. החסם היחיד שמציבה החברה היא “זמן צינון” של חודשיים לפחות בין מעבר מרשם אחד לרשם אחר. כלומר, אם רכשתם שם דומיין מ-GoDaddy מלפני שבוע, תיאלצו לחכות לפחות עוד 5 שבועות עד שתוכלו להעביר אותו לרשם אחר.

במידה וברצונכם לעבור לרשם דומיינים אחר, הדבר הראשון שעליכם לעשות הוא לשחרר את הדומיין שלכם מנעילה דרך GoDaddy בצורה ידנית, דרך כניסה לדומיין ולחיצה על Unlock. לאחר מכן, עליכם להודיע לרשם הדומיינים החדש שלכם שברצונכם להעביר את הדומיין שלכם מ-GoDaddy אליו. בדרך כלל ההליך מתבצע במהלך ההרשמה לשירות. מה שקורה בזמן הזה, הוא שהרשם החדש שלכם שולח בקשה לאיגוד האינטרנט העולמי במטרה לשחרר את הדומיין שלכם מהרשם הישן אל החדש, וכאשר ההליך מבוצע GoDaddy משלימים עבורכם את ההעברה אל הרשם החדש. בסוף התהליך תקבלו הודעת דואר שבה עליכם לאשר את ההעברה, ולאחר שתאשרו אותה ההליך יושלם תוך 5-7 ימים.

 

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג’טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

6 Comments on "מכה שנית: ההאקר שפרץ ל-GoDaddy חושף את קוד המקור"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Guy Schlider
Guest

סקרין שוט של XSS זה עדיין לא פריצה, ובן אדם עם פרופיל פיקטיבי של אנונימוס לא נשמע כלכך אמין. אגב, 'כלי אוטומטי' שמציג SQLI עדיין לא מראה שום data extraction מתוך ה DB שמוכיח שבאמש יש או היתה חולשת SQL

Guy Schlider
Guest

סקרין שוט של XSS זה עדיין לא פריצה, ובן אדם עם פרופיל פיקטיבי של אנונימוס לא נשמע כלכך אמין. אגב, 'כלי אוטומטי' שמציג SQLI עדיין לא מראה שום data extraction מתוך ה DB שמוכיח שבאמש יש או היתה חולשת SQL

Yam Mesicka
Guest

השגתי את קוד המקור שהודלף… אין לזה קשר ל-GoDaddy.
זה סך הכל ttpython. |:

Sharon Viente
Guest

באיזה כלי הוא משתמש, מישהו יודע?

Michael Arenzon
Guest

אני די בטוח שאם הוא רציני אז הוא כתב כלי לבד. מלבד זאת זה לא כזה בעיה לכתוב כלי לבד, פשוט צריך להכיר שפת תכנות כלשהי שמאפשרת עבודה מול http (סיפרייה כלשהי), קצת לוגיקה, ידע נרחב בSQL ו-וואלה :-)

Michael Arenzon
Guest

אני די בטוח שאם הוא רציני אז הוא כתב כלי לבד. מלבד זאת זה לא כזה בעיה לכתוב כלי לבד, פשוט צריך להכיר שפת תכנות כלשהי שמאפשרת עבודה מול http (סיפרייה כלשהי), קצת לוגיקה, ידע נרחב בSQL ו-וואלה :-)

wpDiscuz

תגיות לכתבה: