Al menos una docena de organizaciones con nombres de dominio en un registrador de dominios Espacio cuadrado sus sitios web fueron pirateados la semana pasada. Squarespace compró todos los activos de Dominios de Google Hace un año, muchos clientes todavía no habían creado su nueva cuenta. Los expertos dicen que los piratas informáticos maliciosos aprendieron que podían tomar el control de cualquier cuenta migrada de Squarespace que aún no se hubiera registrado, simplemente proporcionando una dirección de correo electrónico vinculada a un dominio existente.
Hasta el fin de semana pasado, el sitio web de Squarespace tenía la opción de conectarse por correo electrónico.
Los secuestros de dominios de Squarespace, que tuvieron lugar entre el 9 y el 12 de julio, parecen haberse dirigido principalmente a empresas de criptomonedas, incluidas Red Celer, Financiamiento compuesto, Financiamiento pendienteY Dominios imparablesEn algunos casos, los atacantes pudieron redirigir los dominios secuestrados a sitios de phishing configurados para robar los fondos en criptomonedas de los visitantes.
Con sede en Nueva York Espacio cuadrado Squarespace compró aproximadamente 10 millones de nombres de dominio de Google Domains en junio de 2023 y desde entonces ha migrado gradualmente estos dominios a su servicio. Squarespace no respondió a una solicitud de comentarios y no emitió una declaración sobre los ataques.
Pero un análisis publicado por expertos en seguridad en Metamáscara Y Paradigma considera que la explicación más probable para lo sucedido es que Squarespace asumió que todos los usuarios que migraran desde Google Domains seleccionarían las opciones de inicio de sesión social, como “Continuar con Google” o “Continuar con Apple”, en oposición a la opción “Continuar con e -correo”.
Taylor MonahanGerente senior de producto en Metamask, dijo que Squarespace nunca consideró la posibilidad de que un mal actor pudiera crear una cuenta usando una dirección de correo electrónico asociada con un dominio migrado recientemente antes de que el propietario legítimo de la dirección de correo electrónico no cree la cuenta por sí mismo.
“Así que no hay nada que les impida intentar iniciar sesión con el correo electrónico”, dijo Monahan a KrebsOnSecurity. “Y como no hay contraseña en la cuenta, simplemente los envía de regreso al proceso de ‘crear una contraseña para su nueva cuenta’. Y dado que la cuenta está medio inicializada en el backend, ahora tienen acceso al dominio en cuestión. »
En las últimas 24 horas, Squarespace eliminó la posibilidad de que los usuarios crearan una cuenta con solo una dirección de correo electrónico. Esta opción estaba disponible cuando KrebsOnSecurity creó una cuenta de prueba de Squarespace el sábado (no está claro si Squarespace alguna vez envió un correo electrónico de confirmación de este registro, pero todavía no he recibido uno).
Además, dijo Monahan, Squarespace no requería verificación por correo electrónico para las nuevas cuentas creadas con una contraseña.
“Se conocen los dominios que están migrando de Google a Squarespace”, dijo Monahan. “Se trata de información pública o fácilmente identificable que indica qué direcciones de correo electrónico son los administradores de un dominio. Y si esa dirección de correo electrónico nunca configura su cuenta en Squarespace (por ejemplo, porque el administrador de facturación dejó la empresa hace cinco años o porque la gente simplemente ignoró el correo electrónico), cualquiera que ingrese esta dirección de correo electrónico@dominio en el formulario de Squarespace ahora tiene acceso completo. para controlar el dominio. »
Los investigadores dicen que algunos dominios de Squarespace que fueron migrados también podrían ser secuestrados si los atacantes descubrieran las direcciones de correo electrónico de cuentas de usuario menos privilegiadas vinculadas al dominio, como “administrador de dominio”, que también tiene la capacidad de transferir un dominio o dirigirlo a un sitio diferente. Dirección de Internet.
Squarespace afirma que los propietarios y administradores de dominios tienen muchos privilegios similares, incluida la capacidad de mover un dominio o administrar la configuración del servidor de nombres de dominio (DNS) del sitio.
Monahan dijo que la migración dejó a los propietarios de dominios con menos opciones para proteger y monitorear sus cuentas.
“Squarspace no puede ayudar a los usuarios que necesitan controlar o tener información sobre la actividad que ocurre en su cuenta o dominio”, dijo Monahan. “Prácticamente no tienes control sobre el acceso de diferentes personas. No tienes registros de auditoría. No recibe notificaciones por correo electrónico para determinadas acciones. El propietario no recibe notificaciones por correo electrónico de las acciones realizadas por un “administrador de dominio”. Esto es absolutamente una locura si estás acostumbrado y esperas los controles que proporciona Google. »
Los investigadores publicaron una guía completa para bloquear las cuentas de usuario de Squarespace, lo que insta a los usuarios de Squarespace a habilitar la autenticación multifactor (deshabilitada durante la migración).
“Determinar qué correos electrónicos tienen acceso a su nueva cuenta de Squarespace es el primer paso”, aconseja la guía de ayuda. “La mayoría de los equipos NO SON CONSCIENTES de que estas cuentas existen, y mucho menos de que, en teoría, tienen acceso a ellas. »
La guía también recomienda eliminar cuentas de usuario innecesarias de Squarespace y deshabilitar el acceso de revendedor en Google Workspace.
“Si compró Google Workspace a través de Google Domains, Squarespace ahora es su revendedor autorizado”, explica el documento de ayuda. “Esto significa que cualquier persona con acceso a su cuenta de Squarespace también tiene una puerta trasera a su cuenta de Google Workspace, a menos que la desactive explícitamente siguiendo las instrucciones aquí, lo cual debe hacer. Es más fácil asegurar una cuenta que dos. »