GoDaddy

Hændelsesforløb omkring hackerangreb på GoDaddy

Domæneregistratoren GoDaddy annoncerede for nylig et brud på deres databeskyttelse, der påvirker 1,2 millioner kunder via det administrerede WordPress-hostingmiljø.

Sikkerhedshændelser, der påvirker WordPress, har været af bemærkelsesværdige i de senere år, da flere virksomheder er afhængige af det enormt populære indholdsstyringssystem til at drive deres websteder. Den seneste virksomhed, der er faldet igennem WordPress’ sikkerhedshuller, er domæneregistrator GoDaddy, som for nylig offentliggjorde uautoriseret tredjeparts adgang til WordPress hosting miljø, hvilket påvirker op til 1,2 millioner aktive og inaktive kunder.

Her er en tidslinje over hændelsen med detaljer og indsigt fra virksomheden og eksperter på tværs af feltet.

Tidslinje for GoDaddy WordPress-dataovertrædelse

Den 17. november 2021: GoDaddy opdager uautoriseret tredjepartsadgang på Managed WordPress

I en Securities and Exchange Commission (SEC) arkivering, Demetrius Comes, GoDaddy’s CISO, meddelte, at organisationen havde opdaget uautoriseret adgang til sine Managed WordPress servere. GoDaddy fastslog, at hændelsen begyndte den 6. september 2021 og eksponerede data om 1,2 millioner aktive og inaktive Managed WordPress-kunder. “Vi identificerede mistænkelig aktivitet i vores Managed WordPress hosting miljø og straks iværksatte en undersøgelse og kontaktede myndigheder,” siger Comes. “Ved hjælp af en kompromitteret adgangskode fik en uautoriseret tredjepart adgang til klargøringssystemet i vores ældre kodebase for Managed WordPress.”

Den 22. november 2021: GoDaddy annoncerer brud på datasikkerheden

GoDaddy afslører bruddet i ovennævnte SEC arkivering og meddelte, at det havde blokeret uautoriserede tredjepart fra systemer. Mens undersøgelsen fortsætter, fastslog GoDaddy tredjeparten havde udnyttet en sårbarhed for at få adgang til følgende kundeoplysninger:

Op til 1,2 millioner aktive og inaktive Managed WordPress-kunder havde deres e-mailadresse og kundenummer eksponeret, hvilket udgjorde en risiko for phishing-angreb

Den oprindelige WordPress Admin-adgangskode, der blev angivet på tidspunktet for klargøring, blev eksponeret. Hvis disse legitimationsoplysninger stadig var i brug, nulstillede GoDaddy disse adgangskoder

For aktive kunder blev sFTP- og database brugernavne og adgangskoder eksponeret. GoDaddy nulstillede begge adgangskoder

For en del af aktive kunder blev den private SSL-nøgle eksponeret. GoDaddy var i færd med at udstede og installere nye certifikater for disse kunder.

“Vi er oprigtigt kede af denne hændelse og den bekymring, det forårsager for vores kunder. Vi, GoDaddys ledelse og medarbejdere, tager vores ansvar for at beskytte vores kunders data meget alvorligt og vil aldrig svigte dem. Vi vil lære af denne hændelse og tager allerede skridt til at styrke vores klargøringssystem med yderligere lag af beskyttelse,” sagde Comes.

Den 23. november 2021: Cybersikkerhedsbranchen reagerer, og Managed WordPress-forhandlere viste sig at være påvirket.

I kølvandet på GoDaddys meddelelse om brud på datasikkerheden delte eksperter på cybersikkerhedsområdet reaktioner og indsigt omkring hændelsen, GoDaddys svar og de bredere konsekvenser for organisationer og brugere.

“Måske en af de mest overraskende afsløringer til at komme ud af GoDaddy brud er forsinkelsen mellem det oprindelige angreb og selskabets opdagelse af bruddet over en måned senere,” siger Dominic Trott, UK-manager på Orange Cyberdefense. “En mangel på trusselsregistrering og reaktionsaktivitet døgnet rundt vil uundgåeligt efterlade kritiske aktiver som kundedata med langt større risiko for udnyttelse, hvilket udsætter GoDaddy for både omdømmemæssige og økonomiske konsekvenser. I dette tilfælde blev 1,2 millioner e-mail-adresser og kontoadgangskoder brudt, hvilket efterlod kunderne sårbare over for truslen om phishing, der kunne sætte dem, deres personlige enheder og økonomi i fare.”

Digital kryptografi ekspert og Sectigo CTO Nick Frankrig sagde brud af denne art, hvor store mængder af private nøgler er kompromitteret i sidste ende føre til begivenheder, hvor de kompromitterede certifikater alle skal tilbagekaldes i en meget kort tid. “Den indvirkning, dette kan have på virksomheder, der er afhængige af disse certifikater, kan være betydelig – især på ferieuger som denne.”

Faktisk er et brud på denne størrelse særlig farligt omkring ferien, tilføjede Ed Williams, direktør, Trustwave SpiderLabs. “Hackere forsøger at drage fordel af hver ny e-mail-adresse og adgangskode udsat i et forsøg på at lancere Phishing-angreb og Social Engineering-ordninger.”

Wordfence bekræftede, at mindst seks forhandlere af GoDaddy Managed WordPress også blev påvirket af bruddet: tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet og Host Europe. GoDaddy siger, at kun et lille antal forhandlerkunder blev påvirket.

Kilde: CSO

Scroll til toppen