Untersuchungen in den USA und Kanada haben ergeben, dass die Fehlalarme über angebliche Bombendrohungen Mitte Dezember auf eine Schwachstelle in GoDaddy zurückzuführen ist. Die Drohungen hatten zu Evakuierungen und Schließungen in beiden Ländern geführt.
Eine Hackergruppe namens Spammy Bear hatte 78 Domains gekapert, darunter die von Expedia, Yelp und Mozilla, um dort Lösegeld in Form von Bitcoin zu erpressen. Ausgelöst wurden die Angriffe durch Spam-E-Mails, die die Opfer vor der Bombe warnten oder aber diese mit angeblichen Webcam-Video-Aufzeichnungen erpresste, auf denen die Opfer angeblich sexuelle Handlungen vollziehen. In beiden Fällen wurden Bitcoin als Lösegeld gefordert. Der Sicherheitsforscher, der den Fehler entdeckt hat, schätzt nun, dass weltweit über eine halbe Million Domains anfällig für Angriffe dieser Art sind. Er rechnet daher mit Nachahmern und weiteren betroffenen Unternehmen.
Dies ist ein weiterer Hinweis, dass Hacker das Maschinenidentitätssystem missbrauchen, um ihre Angriffe durchzuführen. Maschinenidentitäten sind die Grundlage für das Vertrauen in der digitalen Welt und Hacker nutzen sie, um ahnungslosen Benutzern vertrauenswürdig zu erscheinen. GoDaddy ist sicherlich nicht unschuldig an der Misere. Die Organisationen und Unternehmen, die Opfer dieser Attacken geworden sind, sollten sich jedoch fragen, warum sie die Maschinenidentitäten auf ihren Domain-Servern nicht besser geschützt haben. Denn dann hätten sie verhindern können, dass die Hacker sie für ihre Attacken missbrauchen. Indem sie ihr Abonnement für GoDaddy ablaufen ließen, ohne die Domain-Name-Server zu aktualisieren, gewährten sie jedem informierten Angreifer einen einfachen Zugang zu ihren IT-Systeme. Die Erkenntnis, dass Maschinenidentitäten geschützt werden müssen, ist leider nicht weit verbreitet. Wenn Unternehmen weiterhin den Schutz ihrer maschinellen Identitäten vernachlässigen, werden diese Angriffe nur noch häufiger auftreten.
Kommentar von Broderick Perelli-Harris, Senior Director Professional Services bei Venafi