Squarespace kupio Google Domains, pa nehatom i nebrigom omogućio hakerima preusmjeravanje domena

Hakeri uspjeli preuzeti kontrolu nad web stranicama najmanje dvanaest organizacija, primarno kriptovalutnih tvrtki, čije su domene bile registrirane kod Squarespacea, a koji je godinu dana ranije preuzeo približno 10 milijuna domena od Google Domainsa

Ivan Podnar utorak, 16. srpnja 2024. u 11:02

Napadi su se odvijali u razdoblju od 9. do 12. srpnja, iskorištavajući ozbiljan propust u procesu migracije korisničkih računa s Google Domainsa na Squarespace. O tome je na svom blogu detaljno izvijestio Brian Krebs. Unatoč višestrukim upozorenjima, mnogi korisnici još uvijek nisu aktivirali svoje nove Squarespace račune, što je stvorilo sigurnosnu rupu koju su hakeri vješto iskoristili.

Metoda napada

Metoda koju su napadači koristili bila je iznenađujuće jednostavna. Prvo su identificirali domene koje su nedavno migrirane s Google Domainsa na Squarespace. Zatim su pronašli povezane e-mail adrese administratora tih domena, što je često javno dostupna informacija. Na Squarespace stranici za prijavu, koja je donedavno imala opciju prijave putem e-maila, hakeri su jednostavno unijeli e-mail adresu povezanu s ciljanom domenom. Budući da legitimni vlasnici još nisu aktivirali svoje račune, sustav je napadače vodio kroz proces stvaranja novog računa, dajući im puni pristup i kontrolu nad domenom.

Zabrinjavajući propusti Squarespacea

Taylor Monahan, vodeći product manadžer u Metamasku, objasnio je ključni propust u Squarespace sustavu: "Squarespace nikada nije uzeo u obzir mogućnost da bi napadač mogao registrirati račun koristeći e-mail povezan s nedavno migriranom domenom prije nego što to učini legitimni vlasnik e-maila." Još više zabrinjavajuće je to što Squarespace nije zahtijevao verifikaciju e-maila za nove račune stvorene s lozinkom, što je omogućilo hakerima da preuzmu kontrolu nad domenom bez ikakve dodatne provjere.

Napadi na kriptovalutne tvrtke

Napadi su primarno bili usmjereni na kriptovalutne tvrtke, uključujući Celer Network, Compound Finance, Pendle Finance i Unstoppable Domains. U pojedinim slučajevima, napadači su preusmjerili otete domene na sofisticirane phishing stranice, da bi, od neobaviještenih korisnika, pokrali kriptovalute.

Monahan je ukazao na dodatne nedostatke u sigurnosnoj arhitekturi Squarespacea. Prema njegovim riječima, Squarespace ne pruža korisnicima adekvatnu kontrolu ili uvid u aktivnosti na njihovim računima ili domenama. Korisnici nemaju kontrolu nad pristupom različitih osoba, nemaju revizijske zapise i ne dobivaju e-mail obavijesti za određene radnje. Posebno je problematično što vlasnik ne dobiva e-mail obavijest za radnje koje poduzima 'upravitelj domene', što značajno odstupa od standarda kontrole koje pruža Google.

Vodič za zaštitu

Kao odgovor na ove napade, tim stručnjaka iz Metamaska i Paradigma objavio je sveobuhvatan vodič za zaštitu Squarespace korisničkih računa. Vodič preporučuje omogućavanje višefaktorske autentifikacije, koja je bila onemogućena tijekom migracije. Također savjetuje identificiranje svih e-mail adresa s pristupom novom Squarespace računu, uklanjanje nepotrebnih korisničkih računa i onemogućavanje pristupa preprodavača u Google Workspaceu.

Važno je napomenuti da je Squarespace, nakon kupnje Google Domainsa, postao ovlašteni preprodavač za Google Workspace. To znači da svatko s pristupom Squarespace računu potencijalno ima i pristup povezanom Google Workspace računu, osim ako se to eksplicitno ne onemogući. Vodič stoga naglašava važnost zaštite obje platforme.

Squarespace šuti

Squarespace do trenutka pisanja ovog članka nije odgovorio na višestruke zahtjeve za komentar koji je zatražio Krebs niti je izdao službenu izjavu o ovim napadima. Ostaje nepoznato koliko je točno domena bilo kompromitirano ili kakve su dugoročne posljedice ovih napada. Stručnjaci za kibernetičku sigurnost preporučuju svim korisnicima Squarespace usluga da hitno provjere sigurnost svojih računa i poduzmu sve potrebne mjere zaštite.