Over én million GoDaddy-kunder fanget i databrud

Domæneregistrator og hostingfirma GoDaddy bekræftede et nyt databrud. Det er ikke første gang, at virksomheden har været udsat for et sikkerhedsbrud. I denne seneste er mindst 1,2 millioner kunder blevet berørt.

Offentliggørelsen blev givet i et dokument indgivet til US Securities and Exchange Commission som en del af GoDaddys forpligtelser som en offentligt handlet enhed. Dokumentationen tilskrev angrebet en "uautoriseret tredjepart". Det indledende brud blev gennemført den 6. september, og uanset hvilken trussel aktør, der stod bag, lykkedes det at opretholde uafbrudt adgang og forblive under radaren i mere end to måneder. Problemet blev endelig opdaget i midten af november.

Trusselsaktørerne havde kompromitteret GoDaddys Managed WordPress-hostingmiljø. I det væsentlige giver denne service GoDaddy-kunder mulighed for at gøre brug af WordPress-platformen i et miljø hostet af GoDaddy, uden at kunden skal opdatere og vedligeholde platformens interne funktioner.

Trusselsaktøren brugte en "kompromitteret adgangskode" for at få adgang til GoDaddys servere.

Forskellige typer data for forskellige kunder blev tilgået i databruddet. Dette inkluderer 1,2 millioner e-mails og kundenumre på nuværende og inaktive kundekonti, sFTP- og DB-brugernavn og adgangskodekombinationer (med adgangskoder, der allerede er blevet nulstillet af GoDaddy på tidspunktet for indgivelsen), SSL-certifikat private nøgler til en del af aktuelt aktive kunder .

Sikkerhedseksperter skitserede et par scenarier for, hvilke potentielle ondsindede handlinger, truslen aktører kan være i stand til at udføre med de stjålne data, og ingen af dem var særlig smukke. Scenarierne strakte sig fra at kapre domæner og løskøbe dem til deres legitime ejere, til at omdirigere sidebesøgende til sider, der efterligner de legitime og derefter skrabe enhver information, der er indtastet på de forfalskede sider.

En chefsikkerhedsforsker med AppViewX kaldte nogle af de mulige grimme scenarier for "hændelser på udryddelsesniveau".

ThreatPost rapporterede om problemet og skitserede en række af yderligere tre sikkerhedshændelser, som GoDaddy led i 2020 alene.