Un autre énorme incident de cybersécurité a frappé le registraire de domaine GoDaddy. La violation de données à grande échelle est le cinquième « blessure » que l'entreprise a subi depuis 2018. Ce temps, 1.2 millions de clients GoDaddy ont été touchés, après qu'un tiers non autorisé a réussi à infiltrer ses systèmes en septembre 6.
L'acteur menaçant a continué d'avoir accès pendant près de deux mois et demi, avant que la société d'hébergement Web ne remarque la violation en novembre 17.
C'est à ce moment que GoDaddy a « remarqué une activité suspecte » dans son environnement d'hébergement WordPress géré. Une enquête a été ouverte peu après, avec l'aide d'un cabinet d'expertise informatique. Les forces de l'ordre ont également été contactées.
Mise à jour Novembre 24, 2021
Il s'avère que les revendeurs GoDaddy ont été affectés par la violation de données que nous avons signalée hier, en particulier 123Reg, usine de domaine, coeur Internet, Host Europe, Temple des médias et tsoHost. « Un petit nombre d'utilisateurs WordPress gérés actifs et inactifs de ces marques ont été touchés par l'incident de sécurité. Aucune autre marque n'est impactée. Ces marques ont déjà contacté leurs clients respectifs avec des détails spécifiques et des actions recommandées,", a déclaré Dan Rice, Vice-président des communications d'entreprise chez GoDaddy.
Comment la violation de données GoDaddy s'est-elle produite?
L'acteur de menace inconnu a utilisé un mot de passe compromis pour prendre pied dans le système d'approvisionnement de la base de code héritée de l'entreprise pour Managed WordPress..
Par conséquent, au moins 1.2 des millions de clients WordPress gérés actifs et inactifs ont vu leur adresse e-mail et leur numéro de client exposés, GoDaddy a déclaré dans l'avis de violation officiel. Cela expose les clients exposés à un risque élevé de les attaques de phishing.
Quoi d'autre a été exposé?
« Le mot de passe administrateur WordPress d'origine qui a été défini au moment du provisionnement a été exposé. Si ces informations d'identification étaient toujours utilisées, nous réinitialisons ces mots de passe," a ajouté la société d'hébergement Web. Les informations d'identification sFTP et de la base de données ont également été exposées pour les clients actifs. Les deux mots de passe ont dû être réinitialisés.
« Pour un sous-ensemble de clients actifs, la clé privée SSL a été exposée. Nous sommes en train d'émettre et d'installer de nouveaux certificats pour ces clients,”La société a ajouté.
L'enquête est toujours en cours, et les clients touchés sont contactés avec des détails spécifiques. Si vous êtes concerné par la violation de données, vous pouvez contacter l'entreprise via leur centre d'aide.
Il est curieux de mentionner que GoDaddy est l'une des entreprises qui a aidé à créer le kill switch du malware Sunburst. Suite à la découverte du malware et compte tenu de la gravité de la situation, une équipe conjointe d'experts de Microsoft, Allez papa, et FireEye a conçu le soi-disant kill switch pour empêcher le malware de se propager davantage.