Meer dan een miljoen GoDaddy-klanten betrapt op datalek

Domeinregistrar en hostingbedrijf GoDaddy heeft een nieuw datalek bevestigd. Het is niet de eerste keer dat het bedrijf te maken heeft met een beveiligingsinbreuk. In deze laatste zijn ten minste 1,2 miljoen klanten getroffen.

De onthulling is gedaan in een document dat is ingediend bij de Amerikaanse Securities and Exchange Commission als onderdeel van GoDaddy's verplichtingen als beursgenoteerde entiteit. De indiening schreef de aanval toe aan een "ongeautoriseerde derde partij". De eerste inbreuk vond plaats op 6 september en de dreigingsacteur die erachter zat, slaagde erin om ononderbroken toegang te behouden en meer dan twee maanden onder de radar te blijven. Medio november werd het probleem eindelijk gesignaleerd.

De dreigingsactoren hadden de beheerde WordPress-hostingomgeving van GoDaddy gecompromitteerd. In wezen stelt deze service GoDaddy-klanten in staat om gebruik te maken van het WordPress-platform in een omgeving die wordt gehost door GoDaddy, zonder dat de klant de interne onderdelen van het platform hoeft bij te werken en te onderhouden.

De dreigingsactor gebruikte een "gecompromitteerd wachtwoord" om toegang te krijgen tot de servers van GoDaddy.

Bij het datalek is toegang verkregen tot verschillende soorten gegevens voor verschillende klanten. Dit omvat 1,2 miljoen e-mails en klantnummers van huidige en inactieve klantaccounts, sFTP- en DB-gebruikersnaam- en wachtwoordcombinaties (waarbij wachtwoorden al opnieuw zijn ingesteld door GoDaddy op het moment van indiening), SSL-certificaat privésleutels voor een deel van de momenteel actieve klanten .

Beveiligingsexperts schetsten een paar scenario's van mogelijke kwaadwillende acties die bedreigingsactoren zouden kunnen uitvoeren met de gestolen gegevens en geen van hen was bijzonder mooi. De scenario's varieerden van het kapen van domeinen en het vrijgeven ervan aan hun legitieme eigenaren, tot het omleiden van paginabezoekers naar pagina's die de legitieme nabootsen en het vervolgens schrapen van alle informatie die op de vervalste pagina's werd ingevoerd.

Een hoofdbeveiligingsonderzoeker bij AppViewX noemde enkele van de mogelijke lelijke scenario's "gebeurtenissen op uitstervensniveau".

ThreatPost rapporteerde over het probleem en schetste een reeks van nog drie beveiligingsincidenten waar GoDaddy alleen al in 2020 mee te maken had.

November 23, 2021