Минулого тижня принаймні дюжина організацій, які мають доменні імена у реєстратора доменів Squarespace, що майже рік тому придбав активи Google Domains, помітили захоплення своїх веб-сайтів.
Минулого тижня принаймні дюжина організацій, які мають доменні імена у реєстратора доменів Squarespace, що майже рік тому придбав активи Google Domains, помітили захоплення своїх веб-сайтів.
Викрадання доменів Squarespace, які відбулися з 9 по 12 липня, здебільшого були націлені на криптовалютні бізнеси, включаючи Celer Network, Compound Finance, Pendle Finance і Unstoppable Domains. У деяких випадках зловмисникам вдавалося перенаправляти захоплені домени на фішингові сайти, створені для крадіжки криптовалютних коштів відвідувачів, пише Krebsonsecurity.
У червні 2023 року компанія Squarespace із Нью-Йорка придбала приблизно 10 млн доменних імен у Google Domains, але багато клієнтів досі не створили свої нові облікові записи.
Експерти з безпеки в Metamask і Paradigm, зазначили, що (най)імовірніше пояснення того, що сталося, полягає в тому, що Squarespace припустив, що всі користувачі, які переходять із Google Domains, виберуть параметри входу через соціальну мережу — наприклад, «Продовжити з Google» або «Продовжити з Apple» — як на відміну від вибору «Продовжити з електронною поштою».
Тейлор Монахан, провідний менеджер із продуктів у Metamask, сказав, що Squarespace ніколи не враховував можливість того, що зловмисник може зареєструвати обліковий запис, використовуючи електронну адресу, пов’язану з нещодавно переміщеним доменом, до того, як законний власник електронної пошти створить обліковий запис самостійно.
«Таким чином, ніщо не заважає їм (зловмисникам — прим.ред.) увійти за допомогою електронної пошти», — сказав Монахан KrebsOnSecurity. За його словами, оскільки в обліковому записі немає пароля, сервіс просто перенаправляє шахраїв у потік «створити пароль для нового облікового запису». І оскільки обліковий запис наполовину ініціалізовано на сервері, вони тепер мають доступ до відповідного домену.
Мало того, за словами Монахана, Squarespace не вимагає підтвердження електронної пошти для нових облікових записів, створених із паролем.
«Домени, які переносяться з Google на Squarespace, відомі», — сказав Монахан. За його словами, адреси електронної пошти адміністраторів домену — публічна або легко розпізнавана інформація. «І якщо цей електронний лист так і не налаштує їхній обліковий запис у Squarespace — скажімо, через те, що адміністратор платежів залишив компанію п’ять років тому або люди просто проігнорували електронний лист — кожен, хто введе цей email@domain у формі squarespace, тепер має повний доступ до контролю над доменом», — зазначив експерт.
Дослідники кажуть, що деякі домени Squarespace, які було переміщено, також могли бути зламані, якщо зловмисники виявили адреси електронної пошти менш привілейованих облікових записів користувачів, прив’язаних до домену, наприклад «менеджер домену», який так само має можливість перенести домен або вказати його на іншу адресу в Інтернеті.
Squarespace каже, що власники та менеджери доменів мають багато однакових привілеїв, включаючи можливість переміщувати домен або керувати налаштуваннями сервера доменних імен (DNS) сайту.
Міграція, як підкреслює Монахан, залишила власникам доменів менше можливостей для захисту та моніторингу своїх облікових записів.
«Squarespace не може підтримувати користувачів, яким потрібен будь-який контроль або уявлення про діяльність, що виконується в їх обліковому записі чи домені», — сказав Монахан. «Ви фактично не маєте контролю над доступом, який мають різні люди. У вас немає журналів аудиту. Ви не отримуєте сповіщення електронною поштою про деякі дії. Власник не отримує сповіщення електронною поштою про дії, вжиті „менеджером домену“. Це абсолютно божевілля, якщо ви звикли й очікуєте на елементи керування, які надає Google».
Дослідники опублікували вичерпний посібник із блокування облікових записів користувачів Squarespace, який закликає користувачів Squarespace увімкнути багатофакторну автентифікацію (вимкнену під час міграції).
«Визначення того, які електронні адреси мають доступ до вашого нового облікового запису Squarespace, є кроком 1», — радить довідковий посібник. «Більшість команд НЕ Усвідомлюють, що ці облікові записи навіть існують, не кажучи вже про теоретичний доступ».
Посібник також рекомендує видалити непотрібні облікові записи користувачів Squarespace і вимкнути доступ торговельного посередника до Google Workspace.
«Якщо ви придбали Google Workspace через Google Domains, Squarespace тепер є вашим авторизованим торговим посередником», — пояснюється в довідковому документі. «Це означає, що кожен, хто має доступ до вашого облікового запису Squarespace, також має бекдор у ваш Google Workspace, якщо ви явно не вимкнете його, дотримуючись наведених тут інструкцій, що ви повинні зробити. Легше захистити один обліковий запис, ніж два».
Користувачі в коментарях підтвердили, що спостерігають збої в роботі сервісу. Один з них повідомив, що понад місяць тому я зайшов на веб-сайт місцевої компанії, і його скерували на порносайт. Проте, згодом цю помилку виправили. Інший користувач процитував повідомлення від компанії: «Десь за останні 24 години Squarespace скасував можливість для людей створювати облікові записи лише за адресою електронної пошти». Але, за його словами, вони все ще дозволяють використовувати адресу електронної пошти та інші параметри.
«Шкода, що Google просто скинув нас на цю компанію. Вони робили це стільки разів раніше, що я думав, що засвоїв свій урок. Я намагався перемістити свої домени з Squarespace після того, як переглянув їхню панель керування. І перенести ваші домени було дуже важко», — пише один з користувачів.
Squarespace не відповіла на запит про коментарі, а також не опублікувала заяву про атаки.
Якщо ти хочеш зареєструвати власний домен, можеш купити домен UA через NIC.UA.Тебе загалом цікавлять новини зі світу імен в інтернеті? Тоді переходь на нашу рубрику «Домени», де вже описані цікаві кейси.
