【安全资讯】FTC要求GoDaddy加强网络安全措施以应对数据泄露

概要：

美国联邦贸易委员会（FTC）近日发布最终命令，要求网络托管巨头GoDaddy加强其服务的安全性，以解决自2018年以来多起数据安全失败引发的数据泄露问题。此命令的发布背景是GoDaddy在安全实践方面存在误导用户的行为，影响了其约五百万客户的安全。

主要内容：

FTC的调查发现，GoDaddy在其托管环境中缺乏标准的安全措施，未能识别出潜在的安全漏洞。根据命令，GoDaddy必须停止误导客户关于其安全保护的行为，并建立一个强有力的信息安全程序。具体要求包括使用HTTPS或其他安全传输协议来保护API，实施软件和固件更新管理程序，并聘请独立第三方评估机构每两年对其信息安全程序进行审查。

此外，GoDaddy还需为所有客户、员工和承包商的服务工具或资产增加至少一种强制性多因素认证（MFA），并提供不需要客户提供电话号码的认证方法，如集成认证应用程序或使用安全密钥。FTC指出，GoDaddy的多次数据泄露事件与其松散的安全实践密切相关，包括缺乏多因素认证、软件更新管理不当以及未能监控安全事件。

例如，2023年2月，GoDaddy披露其cPanel共享托管环境遭到攻击，黑客安装恶意软件并窃取源代码。该事件的发现源于客户投诉其网站被滥用，导致GoDaddy在2022年12月初才意识到问题。GoDaddy表示，已开始实施与FTC达成的和解协议中的多项要求，并计划继续投资于安全防御，以应对不断演变的威胁，保护客户及其数据的安全。