In una divulgazione alla Securities and Exchange Commission (SEC) degli Stati Uniti che è stata pubblicato oggi, GoDaddy ha annunciato una violazione della sicurezza dei dati che ha avuto ripercussioni sui suoi clienti di hosting gestito da WordPress. La società ha scoperto l’accesso non autorizzato di terze parti al suo ambiente di hosting il 17 novembre 2021, attraverso una vulnerabilità sfruttata.

Le indagini iniziali di GoDaddy mostrano che l’aggressore ha ottenuto l’accesso utilizzando una password compromessa a partire dal 6 settembre 2021. Quasi tutti i punti dati sensibili associati all’hosting di un sito Web WordPress sono stati compromessi, inclusi indirizzi e-mail dei clienti, password di amministrazione, credenziali sFTP e del database e chiavi private SSL. GoDaddy ha pubblicato il seguente riepilogo dei dati a cui l’autore dell’attacco ha avuto accesso per più di due mesi:

• Fino a 1,2 milioni di clienti Managed WordPress attivi e inattivi hanno avuto il loro indirizzo e-mail e il numero cliente esposti. L’esposizione degli indirizzi e-mail presenta il rischio di attacchi di phishing.
• La password originale dell’amministratore di WordPress impostata al momento del provisioning è stata esposta. Se quelle credenziali erano ancora in uso, reimposteremo quelle password.
• Per i clienti attivi, sono stati esposti nomi utente e password di sFTP e database. Abbiamo reimpostato entrambe le password.
• Per un sottoinsieme di clienti attivi, è stata esposta la chiave privata SSL. Stiamo emettendo e installando nuovi certificati per quei clienti.

GoDaddy ha più di 20 milioni di clienti, ma solo gli account di hosting WordPress gestiti sono stati interessati da questa violazione. Approfondendo l’incidente, Wordfence afferma che GoDaddy stava memorizzando le credenziali sFTP come testo in chiaro, anche se GoDaddy non lo ha confermato ufficialmente:

GoDaddy ha memorizzato le password sFTP in modo tale da poter recuperare le versioni in chiaro delle password, anziché memorizzare hash salati di queste password o fornire l’autenticazione con chiave pubblica, entrambe best practice del settore.

Lo abbiamo confermato accedendo all’interfaccia utente per l’hosting gestito di GoDaddy e siamo stati in grado di visualizzare la nostra password… Quando si utilizza l’autenticazione a chiave pubblica o hash salted, non è possibile visualizzare la propria password in questo modo perché il provider di hosting semplicemente non ha esso.

Le azioni di GoDaddy sono crollate dopo che la divulgazione della SEC è stata rilevata dalle principali organizzazioni di notizie, finendo con un calo del 5,25%. L’azienda ha inviato un’e-mail ai suoi clienti per informarli che i loro account potrebbero essere stati compromessi durante i due mesi in cui l’attaccante ha avuto accesso non autorizzato.

L’incidente ha danneggiato la fiducia dei clienti e mette gli sviluppatori e le agenzie in una posizione scomoda se sono tenuti a informare i propri clienti della violazione. I proprietari dei siti interessati dovranno prestare attenzione a malware, attività sospette e potenziali attacchi di phishing.

Godaddy afferma di aver già adottato misure per proteggere ulteriormente il suo sistema di provisioning e sta continuando le sue indagini con l’aiuto di una società di informatica forense e delle forze dell’ordine.