Comissão Federal de Comércio dos EUA processa GoDaddy por falhas graves em segurança
A Comissão Federal de Comércio (FTC) dos EUA entrou com uma ação contra a GoDaddy, acusando a empresa de práticas precárias de segurança que teriam enganado milhões de clientes de hospedagem na web. De acordo com a FTC, a GoDaddy teria se mostrado “alheia às vulnerabilidades e ameaças em seu ambiente de hospedagem” devido a falhas na adoção de ferramentas e práticas de segurança consideradas padrão.
A reclamação aponta que as deficiências incluíam a ausência de autenticação multifator (MFA), falhas na gestão de atualizações de software, na segmentação de redes e no registro de eventos de segurança. Além disso, a empresa não monitorava ameaças de forma adequada, deixando de utilizar softwares capazes de detectar riscos em registros importantes, nem implementava monitoramento de integridade de arquivos. A GoDaddy também teria negligenciado a inventariação e gestão de ativos, a avaliação de riscos para seus serviços de hospedagem e a proteção de conexões que acessam dados de clientes.
Segundo a FTC, essas falhas resultaram em diversas violações de segurança entre 2019 e 2022, permitindo que agentes maliciosos acessassem sites e dados de clientes. Em um exemplo, a GoDaddy revelou em fevereiro de 2023 que invasores desconhecidos haviam roubado código-fonte e instalado malware em servidores comprometidos, em um ataque que remonta a uma violação ocorrida em 2020 no ambiente de hospedagem compartilhada cPanel.
A FTC agora exige que a GoDaddy implemente um programa robusto de segurança da informação e proíbe a empresa de fazer declarações enganosas sobre suas práticas de segurança. A ordem determina ainda a contratação de um avaliador terceirizado independente para conduzir revisões bienais do programa de segurança e a obrigatoriedade de MFA para todos os clientes, funcionários e equipes de contratados, abrangendo qualquer ferramenta ou ativo de suporte à hospedagem, com a inclusão de métodos alternativos ao uso de números de telefone, como aplicativos de autenticação ou chaves de segurança.