Amerika Birleşik Devletleri Federal Ticaret Komisyonu (FTC), web hosting devi GoDaddy’ye yönelik ciddi güvenlik önlemleri alma talimatı verdi. FTC, 2018’den bu yana süregelen güvenlik açıkları nedeniyle GoDaddy’yi, güvenlik sistemlerini modernize etmeye ve müşterilere yanıltıcı güvenlik vaatlerinde bulunmayı bırakmaya zorladı. Bu düzenlemeler, HTTPS API’leri ve zorunlu çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik standartlarını içeriyor.
Güvenlik açıklarının yol açtığı ihlaller
FTC’nin yaptığı açıklamaya göre, GoDaddy’nin güvenlik uygulamaları milyonlarca küçük işletme için risk oluşturdu. Arizona merkezli şirketin, güvenlik tehditlerini ve barındırma altyapısındaki zayıflıkları görmezden gelmesi, müşteri verilerinin tehlikeye girmesine neden oldu. FTC Tüketici Koruma Bürosu Direktörü Samuel Levine, “Milyonlarca küçük işletme, web sitelerini ve müşterilerinin verilerini korumak için GoDaddy gibi sağlayıcılara güveniyor. FTC, bu firmaların güvenlik sistemlerini güçlendirmesini sağlamak için harekete geçiyor,” ifadelerini kullandı.
FTC’ye göre, GoDaddy’nin güvenlik uygulamalarındaki eksiklikler, 2019 ile 2022 yılları arasında ciddi veri ihlallerine yol açtı. Şirket, iki faktörlü kimlik doğrulama kullanmamak, yazılım güncellemelerini yönetememek, güvenlik tehditlerini izleyememek ve ağ segmentasyonu uygulamamak gibi birçok temel güvenlik önlemini almadı. Ayrıca, şirketin güvenlik olaylarını kaydetme ve dosya bütünlüğünü izleme gibi önemli uygulamalardan da yoksun olduğu belirtildi.
Bu güvenlik açıkları, 2023 yılında GoDaddy’nin cPanel hosting ortamında kaynak kodlarının çalınması ve sunuculara kötü amaçlı yazılım yerleştirilmesi gibi büyük çaplı ihlallere neden oldu. Şirket, ihlali yalnızca müşterilerin web sitelerinin bilinmeyen alanlara yönlendirildiğine dair şikayetler aldıktan sonra fark edebildi.
2021 yılında yaşanan başka bir ihlalde ise, saldırganlar GoDaddy’nin hosting ortamına yetkisiz erişim sağlayarak 1.2 milyon Yönetimli WordPress müşterisinin e-posta adreslerini, sFTP ve veritabanı kimlik bilgilerini ve bazı SSL özel anahtarlarını ele geçirdi.
FTC’nin önerdiği anlaşma şartlarına göre, GoDaddy artık güçlü bir bilgi güvenliği programı oluşturmakla yükümlü. Şirket, güvenlik korumalarıyla ilgili müşterilere yanıltıcı bilgi vermemeyi taahhüt etmek zorunda. Ayrıca bağımsız bir üçüncü taraf denetçi, GoDaddy’nin güvenlik uygulamalarını iki yılda bir değerlendirecek.
FTC, müşteriler ve çalışanlar için zorunlu MFA kullanımını da emretti. Bu doğrulama yöntemi, telefon numarası gerektirmeyen alternatifler sunmak için kimlik doğrulama uygulamalarını ve güvenlik anahtarlarını içerecek. Şirket, veritabanı bağlantıları dahil olmak üzere tüm hosting hizmetlerinde bu güvenlik önlemlerini uygulayacak.
GoDaddy, yaptığı açıklamada, FTC’nin belirlediği şartların birçoğunu halihazırda yerine getirdiklerini belirtti. Şirket, bu düzenlemelerin kendi sistemlerini güçlendirme yolunda bir fırsat sunduğunu ifade etti. Ayrıca, bu anlaşmanın herhangi bir suçlama kabulü veya mali ceza içermediğine dikkat çekti. GoDaddy, müşterilerinin verilerini korumak için daha fazla yatırım yapmayı sürdüreceğini ve güvenlik önlemlerini geliştirmek için sürekli çalışacağını belirtti.
FTC’nin bu müdahalesi, yalnızca GoDaddy için değil, aynı zamanda tüm web hosting endüstrisi için bir uyarı niteliği taşıyor. Güvenlik ihlallerine karşı daha güçlü önlemler almak ve müşterilerin güvenini kazanmak, tüm sektörün ortak sorumluluğu olmaya devam ediyor.
GoDaddy’nin FTC ile yaptığı anlaşma, şirketin güvenlik altyapısını güçlendirmesi için bir dönüm noktası olabilir. Bu düzenlemelerin etkisi, yalnızca GoDaddy müşterileri için değil, aynı zamanda web hosting endüstrisinin genel standartlarının yükselmesi açısından da önem taşıyor.
