Al menos una docena de organizaciones con nombres de dominio en el registrador de dominios Squarespace vieron sus sitios web secuestrados la semana pasada. Squarespace compró todos los activos de Google Domains hace un año, pero muchos clientes aún no han configurado sus nuevas cuentas. Los expertos dicen que los piratas informáticos maliciosos descubrieron que podían apoderarse de cualquier cuenta migrada de Squarespace que aún no se hubiera registrado, simplemente proporcionando una dirección de correo electrónico vinculada a un dominio existente. Hasta el fin de semana pasado, el sitio web de Squarespace tenía una opción para iniciar sesión por correo electrónico. Los secuestros de dominios de Squarespace, que tuvieron lugar entre el 9 y el 12 de julio, parecen haber tenido como objetivo principalmente empresas de criptomonedas, incluidas Celer Network, Compound Finance, Pendle Finance y Unstoppable Domains. En algunos casos, los atacantes pudieron redirigir los dominios secuestrados a sitios de phishing creados para robar los fondos de criptomonedas de los visitantes. Squarespace, con sede en la ciudad de Nueva York, compró aproximadamente 10 millones de nombres de dominio de Google Domains en junio de 2023, y ha estado migrando gradualmente esos dominios a su servicio desde entonces. Squarespace no ha respondido a una solicitud de comentarios ni ha emitido una declaración sobre los ataques. Pero un análisis publicado por expertos en seguridad de Metamask y Paradigm concluye que la explicación más probable de lo que sucedió es que Squarespace asumió que todos los usuarios que migraran de Google Domains seleccionarían las opciones de inicio de sesión social (como «Continuar con Google» o «Continuar con Apple») en lugar de la opción «Continuar con correo electrónico». Taylor Monahan, gerente de producto principal de Metamask, dijo que Squarespace nunca tuvo en cuenta la posibilidad de que un actor de amenazas pudiera registrarse para obtener una cuenta utilizando un correo electrónico asociado con un dominio recientemente migrado antes de que el titular legítimo del correo electrónico creara la cuenta por sí mismo. «Por lo tanto, nada les impide intentar iniciar sesión con un correo electrónico», dijo Monahan a KrebsOnSecurity. «Y como no hay contraseña en la cuenta, simplemente los envía al flujo ‘crear contraseña para su nueva cuenta’. Y como la cuenta está medio inicializada en el backend, ahora tienen acceso al dominio en cuestión». En algún momento de las últimas 24 horas, Squarespace eliminó la posibilidad de que las personas crearan una cuenta con solo una dirección de correo electrónico. Esa opción estaba disponible cuando KrebsOnSecurity creó una cuenta de prueba de Squarespace el sábado (no está claro si Squarespace alguna vez envió un correo electrónico de confirmación de ese registro, pero todavía no he recibido uno). Además, dijo Monahan, Squarespace no requirió verificación de correo electrónico para las nuevas cuentas creadas con una contraseña. «Los dominios que se están migrando de Google a Squarespace son conocidos», dijo Monahan. «Es información pública o fácilmente discernible qué direcciones de correo electrónico tienen administrador de un dominio. Y si ese correo electrónico nunca configura su cuenta en Squarespace, digamos porque el administrador de facturación dejó la empresa hace cinco años o la gente simplemente ignoró el correo electrónico, cualquiera que ingrese ese correo electrónico@dominio en el formulario de Squarespace ahora tiene acceso completo para controlar el dominio «. Los investigadores dicen que algunos dominios de Squarespace que fueron migrados también podrían ser secuestrados si los atacantes descubrieran las direcciones de correo electrónico de cuentas de usuarios con menos privilegios vinculadas al dominio, como «administrador de dominio», que también tiene la capacidad de transferir un dominio o apuntarlo a una dirección de Internet diferente. Squarespace dice que los propietarios de dominios y los administradores de dominios tienen muchos de los mismos privilegios, incluida la capacidad de mover un dominio o administrar la configuración del servidor de nombres de dominio (DNS) del sitio. Monahan dijo que la migración ha dejado a los propietarios de dominios con menos opciones para proteger y monitorear sus cuentas. «Squarespace no puede brindar soporte a los usuarios que necesitan algún control o conocimiento sobre la actividad que se realiza en su cuenta o dominio», dijo Monahan. «Básicamente, no tienes control sobre el acceso que tienen diferentes personas. No tienes registros de auditoría. No recibes notificaciones por correo electrónico para algunas acciones. El propietario no recibe notificaciones por correo electrónico de las acciones realizadas por un ‘administrador de dominio’. Esto es absolutamente una locura si estás acostumbrado y esperas los controles que ofrece Google». Los investigadores han publicado una guía completa para bloquear las cuentas de usuario de Squarespace, que insta a los usuarios de Squarespace a habilitar la autenticación multifactor (deshabilitada durante la migración). “Determinar qué correos electrónicos tienen acceso a su nueva cuenta de Squarespace es el paso 1”, aconseja la guía de ayuda. “La mayoría de los equipos NO SE DEN CUENTAN de que estas cuentas existen, y mucho menos de que teóricamente tienen acceso”. La guía también recomienda eliminar las cuentas de usuario innecesarias de Squarespace y deshabilitar el acceso de revendedor en Google Workspace. “Si compró Google Workspace a través de Google Domains, Squarespace ahora es su revendedor autorizado”, explica el documento de ayuda. “Esto significa que cualquier persona con acceso a su cuenta de Squarespace también tiene una puerta trasera en su Google Workspace a menos que la deshabilite explícitamente siguiendo las instrucciones aquí, lo cual debe hacer. Es más fácil proteger una cuenta que dos”.