Хакеры захватили домены нескольких популярных криптосервисов, обманув регистратора GoDaddy

KrebsOnSecurity. «Поставщик доменов “GoDaddy”, который управляет одним из наших ключевых доменных имен, неправильно передал управление аккаунтом и доменом злоумышленнику, – сообщил CEO биржи криптовалют Liquid Майк Каямори в связи с произошедшей 13 ноября атакой. – Это позволило злоумышленнику изменить записи DNS и взять под свой контроль несколько внутренних аккаунтов электронных почт. Таким образом он смог частично скомпрометировать нашу инфраструктуру и получить доступ к хранилищу документов». 18 ноября майнинговый маркетплейс NiceHash также обнаружил неавторизованное изменение настроек DNS в сервисе GoDaddy, из-за чего некоторое время его электронные письма и веб-трафик переадресовывались. NiceHash заморозил вывод средств клиентов на 24 часа, пока не убедился в том, что настройки были возвращены в первоначальное состояние. «По всей видимости, доступ к электронным письмам, паролям или любым персональным данным получен не был, но мы рекомендуем сбросить пароли и метод двухфакторной аутентификации», – сообщила компания. Основатель NiceHash Матьяш Скорянц заявил, что организатор атаки пытался перехватить входящие письма NiceHash, чтобы сбросить пароли в различных сторонних сервисах, включая Slack и Github. По его словам, связаться с GoDaddy в это время было невозможно, так как сервис испытывал перебои, а по электронной почте и телефону никто не отвечал. «Мы выявили атаку почти сразу же и начали бороться с ней. К счастью, нам удалось отбиться, и они не получили доступ к каким-либо важным сервисам. Ничего не украли», – добавил Скорянц. Он также сообщил, что электронные письма с NiceHash переадресовывались на privateemail.com, платформу электронной почты под управлением другого крупного регистратора доменных имен Namecheap Inc. Кроме того, в числе жертв атаки могут находиться такие криптовалютные сервисы, как Bibox, Celsius и Wirex. Представитель GoDaddy признал, что «небольшое число» доменов клиентов подверглось изменениям, после того как «ограниченный» круг сотрудников GoDaddy стал жертвой мошенничества с применением методов социальной инженерии. В компании отметили, что перебои в обслуживании 17 ноября не имеют отношения к этим событиям. «Мы немедленно заблокировали аккаунты, связанные с этим инцидентом, откатили изменения и помогли затронутым клиентам восстановить доступ», – заявили в GoDaddy.