Dans une notification de violation de données publiée aujourd’hui, GoDaddy a déclaré que les données de jusqu’à 1,2 million de ses clients avaient été exposées après que des pirates aient eu accès à l’environnement d’hébergement WordPress géré de l’entreprise.
L’incident a été découvert par GoDaddy mercredi dernier, le 17 novembre, mais les attaquants avaient accès à son réseau et aux données contenues sur les systèmes violés depuis au moins le 6 septembre 2021.
« Nous avons identifié une activité suspecte dans notre environnement d’hébergement WordPress géré et avons immédiatement commencé une enquête avec l’aide d’une société d’informatique légale et avons contacté les forces de l’ordre » mentionné Demetrius Comes, responsable de la sécurité des informations de GoDaddy.
« À l’aide d’un mot de passe compromis, un tiers non autorisé a accédé au système d’approvisionnement dans notre base de code héritée pour WordPress géré.
« Notre enquête est en cours et nous contactons directement tous les clients concernés avec des détails spécifiques. Les clients peuvent également nous contacter via notre centre d’aide (https://www.godaddy.com/help) qui comprend des numéros de téléphone en fonction du pays. »
Les attaquants ont pu accéder aux informations client suivantes de GoDaddy à l’aide du mot de passe compromis :
- Jusqu’à 1,2 million de clients WordPress gérés actifs et inactifs ont vu leur adresse e-mail et leur numéro de client exposés. L’exposition des adresses e-mail présente un risque d’attaques de phishing.
- Le mot de passe administrateur WordPress d’origine qui a été défini au moment du provisionnement a été exposé. Si ces informations d’identification étaient toujours utilisées, nous réinitialisons ces mots de passe.
- Pour les clients actifs, les noms d’utilisateur et les mots de passe sFTP et de base de données ont été exposés. Nous réinitialisons les deux mots de passe.
- Pour un sous-ensemble de clients actifs, la clé privée SSL a été exposée. Nous sommes en train d’émettre et d’installer de nouveaux certificats pour ces clients.
La société a également révélé une violation l’année dernière, en mai, lorsqu’elle a alerté certains de ses clients qu’une partie non autorisée avait utilisé les informations d’identification de leur compte d’hébergement Web en octobre pour se connecter à leur compte d’hébergement via SSH.
L’équipe de sécurité de GoDaddy a découvert cet incident après avoir repéré un fichier SSH altéré dans l’environnement d’hébergement de GoDaddy et une activité suspecte sur un sous-ensemble des serveurs de GoDaddy.
En 2019, les escrocs ont également utilisé des centaines de comptes GoDaddy compromis pour créer 15 000 sous-domaines, tentant de se faire passer pour des sites Web populaires et de rediriger les victimes potentielles vers des pages de spam proposant des produits à base d’huile de serpent.
Plus tôt en 2019, il a été découvert que GoDaddy injectait du JavaScript dans les sites de clients américains à leur insu, les rendant ainsi potentiellement inopérants ou affectant leurs performances globales.
GoDaddy est l’un des plus grands bureaux d’enregistrement de domaines au monde et une société d’hébergement Web fournissant des services à plus de 20 millions de clients dans le monde.