薄弱的安全默认值导致 Squarespace 域名被劫持

上周，至少有十几个在域名注册商Squarespace拥有域名的组织的网站被劫持。

Squarespace 一年前收购了Google Domains的所有资产，但许多客户仍未设置新账户。

专家表示，恶意黑客了解到，他们只需提供与现有域名绑定的电子邮件地址，就可以劫持任何已迁移但尚未注册的 Squarespace 账户。

直到上周末，Squarespace 的网站才提供通过电子邮件登录的选项。

Squarespace 域名劫持事件发生在 7 月 9 日至 7 月 12 日之间，主要针对加密货币企业，包括Celer Network、Compound Finance、Pendle Finance和Unstoppable Domains。

在某些情况下，攻击者能够将被劫持的域名重定向到为窃取访问者加密货币资金而设置的钓鱼网站。

总部位于纽约的Squarespace于 2023 年 6 月从 Google Domains 购买了大约 1000 万个域名，此后一直在逐步将这些域名迁移到其服务中。

Squarespace 尚未回应置评请求，也没有就此次攻击发表声明。

但Metamask和Paradigm的安全专家发布的分析发现，对于这一事件最可能的解释是，Squarespace 假设所有从 Google Domains 迁移的用户都会选择社交登录选项 - 例如“继续使用 Google”或“继续使用 Apple” - 而不是“继续使用电子邮件”选项。

Metamask 首席产品经理泰勒·莫纳汉(Taylor Monahan) 表示，Squarespace 从未考虑到这种可能性：威胁行为者可能会在合法电子邮件持有者自己创建账户之前，使用与最近迁移的域相关联的电子邮件注册账户。

因此，实际上没有什么可以阻止他们尝试使用电子邮件登录。

由于帐户上没有密码，因此它只会将他们引导到‘为您的新帐户创建密码’流程。由于帐户在后端已半初始化，因此他们现在可以访问相关域。

此外，Squarespace 并不要求使用密码创建的新账户进行电子邮件验证。

从 Google 迁移到 Squarespace 的域名是已知的哪些电子邮件地址拥有域名的管理员信息要么是公开的，要么是很容易辨别的。

如果该电子邮件从未在 Squarespace 上设置他们的帐户（比如因为结算管理员五年前离开了公司，或者人们只是忽略了该电子邮件），那么在 Squarespace 表单中输入该电子邮件@域名的任何人都可以完全控制该域名。

研究人员表示，如果攻击者发现与域名绑定的权限较低的用户账户（如“域名管理员”）的电子邮件地址，一些迁移过来的 Squarespace 域名也可能会被劫持，该管理员同样有能力转移域名或将其指向不同的互联网地址。

Squarespace 表示域名所有者和域名管理员拥有许多相同的权限，包括移动域名或管理网站域名服务器 (DNS) 设置的权限。

迁移使得域名所有者保护和监控其账户的选择更少。

Squarespace 无法支持那些需要控制或了解其帐户或域中正在执行的活动的用户。

你基本上无法控制不同人的访问权限。你没有任何审计日志。你不会收到某些操作的电子邮件通知。所有者不会收到‘域管理员’所采取的操作的电子邮件通知。

如果你习惯并期待 Google 提供的控制，这绝对是疯了。

研究人员发布了一份有关锁定 Squarespace 用户账户的综合指南，敦促 Squarespace 用户启用多因素身份验证（迁移期间禁用）。

https://securityalliance.notion.site/A-Squarespace-Retrospective-or-How-to-Coordinate-an-Industry-Wide-Incident-Response-fead693b66c14543a48283d85aec19ad

帮助指南建议：“第一步是确定哪些电子邮件可以访问您的新 Squarespace 帐户。大多数团队甚至没有意识到这些帐户的存在，更不用说理论上可以访问了。”

该指南还建议删除不必要的 Squarespace 用户帐户，并禁用 Google Workspace 中的经销商访问权限。

如果您通过 Google Domains 购买了 Google Workspace，那么 Squarespace 现在是您的授权经销商，”帮助文档解释道。

这意味着任何有权访问您的 Squarespace 帐户的人也都有进入您 Google Workspace 的后门，除非您按照此处的说明明确禁用它，您应该这样做。保护一个帐户比保护两个帐户更容易。