- ФТК официально выражает недовольство заявлениями GoDaddy о безопасности
- «Крупные компромиссы» с 2019 по 2022 годы вызывают беспокойство
- GoDaddy достиг соглашения с ФТК для повышения уровня безопасности
Федеральная торговая комиссия США (ФТК) выдвинула новое обвинение против GoDaddy, касающееся введения клиентов в заблуждение и недостаточной защиты своих услуг веб-хостинга.
Это уведомление является последним предупреждением для компании, которой необходимо разобраться с проблемами безопасности, возникшими с 2018 года, однако GoDaddy не сталкивается с немедленными последствиями.
Список ошибок, предположительно допущенных компанией, теперь освещен ФТК в официальной жалобе, включая нарушения Акта ФТК.
ФТК замечает GoDaddy
Длинный список обвинений в адрес GoDaddy включает следующее: отсутствие инвентаризации и управления активами; ненадлежащее управление обновлениями программного обеспечения; оценка рисков для своих услуг веб-хостинга; отсутствие использования многофакторной аутентификации; отсутствие регистрации событий, связанных с безопасностью; отсутствие мониторинга угроз безопасности, включая несвоевременное использование программного обеспечения для активного обнаружения угроз; отсутствие контроля за интеграцией файлов; отсутствие сегментации сети и отсутствие защиты соединений с сервисами, предоставляющими доступ к данным клиентов.
В жалобе ФТК подчеркиваются некоторые «крупные компромиссы», произошедшие между 2019 и декабрем 2022 года, когда злоумышленники получали доступ к конфиденциальной клиентской информации. Атаки включают события в октябре 2019 года, марте 2020 года, апреле 2020 года и ноябре 2021 года.
Перенаправления на вредоносные сайты, сбор данных, инфицирование скриптов рассылки, атаки на базы данных, уязвимости аутентификации пользователей, устаревшие плагины и коды, атаки распределенными отказами в обслуживании (DDoS) были отмечены как возможные последствия недостаточной безопасности в жалобе ФТК.
В результате GoDaddy согласилась на заключение соглашения, согласно которому запрещено делать ложные или вводящие в заблуждение заявления о безопасности. Компания должна также внедрить программу информационной безопасности, проводить регулярные оценки соблюдения правил с привлечением третьих лиц и оперативно сообщать ФТК о инцидентах, связанных с безопасностью.
GoDaddy отправила следующее заявление:
«GoDaddy имеет долгую историю предоставления инновационных продуктов своим клиентам в сфере веб-хостинга. Мы сосредоточены на защите данных и веб-сайтов наших клиентов и вкладываем значительные ресурсы в технологии, инструменты и персонал для защиты систем и информации. Мы постоянно улучшаем наши возможности безопасности и уже внедрили несколько требований, предусмотренных соглашением с ФТК.
«Важно отметить, что урегулирование этого вопроса не включает признания вины и не подразумевает денежные штрафы. Мы ожидаем минимального финансового воздействия, связанного с соблюдением условий соглашения с ФТК. Мы планируем по-прежнему инвестировать в нашу защиту, чтобы справляться с развивающимися угрозами и помогать защитить наших клиентов, их веб-сайты и данные.»
Источник: TechRadar
