在美國聯邦貿易委員會(FTC) 日常起訴的公司名單裡我們發現了GoDaddy，沒想到這家網路服務託管商和網域註冊商也會遭到起訴，所以這還挺讓人驚訝的。日前FTC 正式對GoDaddy 提起訴訟指控該公司極差的安全性並將數百萬家企業置於危險之中，而FTC 的目的則是希望透過此次起訴能夠敦促GoDaddy 加強安全系統提升安全性保護全球消費者。

這件事還要追溯到2023 年的cPanel 事件：

cPanel 是一個伺服器管理面板可以幫助使用者管理各種網路服務並簡化操作，GoDaddy 平台也透過cPanel 面板為託管客戶提供服務。

2023 年2 月GoDaddy 透露其內部安全系統遭到駭客滲透，並且有證據表明駭客最早可能在2019 年已經成功滲透到了GoDaddy，駭客的行為主要是破壞cPanel 環境並植入後門用來竊取資料或發起其他攻擊。

當然cPanel 事件只是GoDaddy 安全系統的一個常規例子，GoDaddy 因為安全系統的問題遭到駭客入侵多次並造成了不少資料外洩。

GoDaddy 近年來出現的安全事故時間線：

最快可能在2019 年：駭客透過滲透到GoDaddy 內部系統破壞cPanel 並植入惡意軟體威脅企業網站安全

最快可能在2019 年：駭客利用憑證透過SSH 連接託管環境，造成至少約2.8 萬名GoDaddy 客戶受影響

2021 年11 月：GoDaddy 漏洞洩露120 萬名託管WordPress 網站的客戶，包括郵箱、管理員密碼、私鑰和資料庫密碼全部洩露

FTC 透過起訴對GoDaddy 提出多個要求：

FTC 在起訴書中指控GoDaddy 不合理的安全措施例如未使用MFA 驗證、不恰當的管理軟體更新、未記錄安全事件、未隔離網路、未監控安全威脅以及未部署檔案完整性監控等，這給數百萬個使用GoDaddy 託管服務的網站造成嚴重安全威脅。

另外FTC 也提到由於GoDaddy 並未實施標準安全工具和措施，導致該公司對其託管環境中的漏洞和威脅視而不見，這些也是GoDaddy 出現多次安全問題的主要原因。

根據FTC 擬議的和解方案，GoDaddy 必須建立強大的資訊安全計劃並禁止在宣傳上說自己足夠安全避免誤導客戶，同時還要求GoDaddy 聘請獨立的第三方評估機構每兩年對其資訊安全計劃進行一次審查。

MFA 驗證方面，FTC 要求GoDaddy 供應商、員工、所有客戶都必須強制啟用MFA 驗證，避免因為密碼外洩等問題造成GoDaddy 系統或客戶的資料外洩。