GoDaddy a été victime d’une brèche de données

GoDaddy, le plus grand enregistreur de noms de domaine au monde, a signalé à ses clients que des pirates peuvent avoir obtenu des informations d’identification de leur compte d’hébergement Web.

Une «personne non autorisée» a pu accéder aux informations de connexion des utilisateurs dans une intrusion qui, selon la société, a eu lieu en octobre. La société a déclaré que le problème avait été découvert le 23 Avril 2020.

La société a déclaré que la brèche ne concernait que les comptes d’hébergement, pas les comptes clients généraux de GoDaddy.com, et qu’aucune donnée client dans les comptes principaux n’était accessible. La société basée à Scottsdale, en Arizona, compte plus de 19 millions de clients dans le monde, mais seulement 28 000 ont été touchés par l’attaque.

La société n’a pas confirmé la durée pendant laquelle le pirate a eu accès aux informations d’identification. GoDaddy a déclaré:

«Le 23 avril 2020, nous avons identifié que des noms d’utilisateur et des mots de passe SSH avaient été compromis par une personne non autorisée dans notre environnement d’hébergement», a déclaré un porte-parole. «Cela a touché environ 28 000 clients. Nous avons immédiatement réinitialisé ces noms d’utilisateur et mots de passe, supprimé un fichier SSH autorisé de notre plate-forme et n’avons aucune indication que la personne a utilisé les informations d’identification de nos clients ou modifié des comptes d’hébergement client. L’individu n’avait pas accès aux principaux comptes GoDaddy des clients. “

Pendant ce temps, «nous avons récemment identifié une activité suspecte sur un sous-ensemble de nos serveurs et avons immédiatement commencé une enquête», a déclaré la société dans un rapport de brèche de données déposé auprès du procureur général de Californie et obtenu par les médias. «L’enquête a révélé qu’une personne non autorisée avait accès à vos informations de connexion utilisées pour se connecter à SSH sur votre compte d’hébergement. Nous n’avons aucune preuve que des fichiers ont été ajoutés ou modifiés sur votre compte. L’individu non autorisé a été bloqué de nos systèmes, et nous continuons d’enquêter sur l’impact potentiel sur notre environnement. »

godaddy

Le protocole SSH est généralement utilisé pour se connecter à une machine distante et exécuter des commandes, mais il est également utilisé pour transférer des fichiers à l’aide des protocoles de transfert de fichiers SSH (SFTP) ou de copie sécurisée (SCP) associés.

“GoDaddy indique que les comptes clients ont été accédés en octobre 2019, mais ils ont détecté le compromis récemment et informé les clients”, a déclaré Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel.

«Si tel est le cas, cela signifie que le pirate avait le contrôle des comptes d’hébergement des clients GoDaddy pendant environ sept mois avant leur découverte. GoDaddy a déclaré aux clients concernés qu’ils n’avaient aucune preuve que des fichiers ont été ajoutés ou modifiés sur leur compte, mais il semble hautement invraisemblable qu’un pirate y ait accès aussi longtemps sans tenter quoi que ce soit de néfaste. GoDaddy devrait fournir plus d’informations sur l’enquête et des preuves pour appuyer cette affirmation et expliquer pourquoi il a fallu près de six mois pour les détecter. »

godaddy

La société a également déclaré avoir ouvert une enquête “immédiatement” après avoir découvert la violation, mais n’a pas précisé comment l’attaque s’est produite.

En réponse à l’incident, GoDaddy a réinitialisé les mots de passe des utilisateurs concernés: «Nous avons réinitialisé de manière proactive les informations de connexion de votre compte d’hébergement pour éviter tout potentiel accès non autorisé… par prudence, nous vous recommandons d’effectuer un audit de votre compte d’hébergement. “

Pas la première fois pour GoDaddy

Il ne s’agit que de la plus récente brèche de données de GoDaddy – en Mars, un individu malveillant a piraté un employé pour accéder au système de support interne de GoDaddy et a ensuite modifié au moins cinq entrées de nom de domaine du client.

«C’est une terrible pratique de sécurité, mais il n’est pas rare non plus que les techniciens de support saisissent des informations sensibles telles que les mots de passe de compte dans des notes à l’intérieur de leurs systèmes de suivi des tickets», a déclaré Clements.

«Il n’est pas difficile d’imaginer qu’avec l’accès à un système de support interne, les pirates auraient pu exfiltrer autant de données que possible sur le système de suivi de tickets pour passer au peigne fin d’autres possibilités d’attaque. Bien que cela n’ait pas été confirmé, cela expliquerait facilement la source des nouvelles attaques. »

GoDaddy a également dévoilé des informations de configuration pour des dizaines de milliers de systèmes Amazon AWS en 2018, grâce à une autre mauvaise configuration de leur cloud.

Si cet article vous a plu, jetez un œil à notre article précédent.