Recenti attacchi ai domini Squarespace mettono in luce gravi falle di sicurezza, esponendo molte organizzazioni a rischi di hijacking degli account.
Negli ultimi giorni, diverse organizzazioni che utilizzano nomi di dominio registrati presso il provider Squarespace hanno subito attacchi informatici con conseguente hijacking dei loro siti web. Squarespace aveva precedentemente acquisito le attività di Google Domains l’anno scorso, ma molti clienti non avevano ancora configurato i loro nuovi account. È emerso che hacker malevoli erano in grado di appropriarsi degli account migrati che non erano stati ancora registrati, semplicemente fornendo un indirizzo email associato a un dominio esistente.
Gli attacchi si sono verificati tra il 9 e il 12 luglio e hanno coinvolto principalmente aziende del settore delle criptovalute, come Celer Network, Compound Finance, Pendle Finance e Unstoppable Domains. In alcuni casi, gli attaccanti hanno reindirizzato i domini dirottati verso siti di phishing creati per sottrarre fondi criptovalutari ai visitatori.
La vulnerabilità scoperta risiede nel fatto che Squarespace permetteva il login tramite email senza richiedere una verifica dell’indirizzo. Questo ha facilitato l’accesso non autorizzato, specialmente per gli account che non erano stati completamente configurati dai legittimi proprietari.
Un’analisi condotta dagli esperti di sicurezza di Metamask e Paradigm ha evidenziato che i malintenzionati potevano iscriversi utilizzando un’email associata a un dominio recentemente migrato, prima che i legittimi proprietari completassero la registrazione. Questo, unito al mancato requisito di verifica email per i nuovi account, ha creato una falla significativa.
Fino alla scorsa settimana, il sito di Squarespace permetteva il login tramite email.
Taylor Monahan, responsabile prodotto presso Metamask, ha dichiarato che molti utenti non erano consapevoli del pericolo derivante dall’assenza di verifica email. Inoltre, poiché i domini migrati erano facilmente identificabili, era semplice per gli attaccanti trovare gli indirizzi email associati e ottenere il controllo dei domini.
La mancanza di audit logs e notifiche email per certe azioni ha ulteriormente complicato la situazione per i proprietari dei domini, lasciandoli con meno strumenti per monitorare e controllare l’accesso ai propri account.
Gli esperti suggeriscono di abilitare l’autenticazione a due fattori, rimuovere account utenti non necessari su Squarespace e disabilitare l’accesso da parte di rivenditori in Google Workspace. Questo è particolarmente importante per evitare accessi indesiderati, poiché Squarespace è ora un rivenditore autorizzato di Google Workspace, e quindi chiunque abbia accesso all’account Squarespace potrebbe avere un backdoor nel Workspace di Google.
Un documento di supporto pubblicato dai ricercatori fornisce una guida dettagliata su come mettere in sicurezza gli account Squarespace, invitando gli utenti a prendere immediatamente precauzioni e a provvedere alla configurazione delle misure di sicurezza consigliate.
Questo incidente sottolinea l’importanza critica della gestione delle credenziali e della configurazione dei nuovi account subito dopo migrazioni o cambiamenti di provider, al fine di evitare significative vulnerabilità e rischi di attacchi informatici.
Squarespace non ha ancora rilasciato commenti ufficiali sugli incidenti né ha fornito dettagli sui passi che intende intraprendere per sanare le falle emerse.