GoDaddy dijo el viernes que su red sufrió un compromiso de seguridad de varios años que permitió a atacantes desconocidos robar el código fuente de la empresa, las credenciales de inicio de sesión de clientes y empleados e instalar malware que redirigió los sitios web de los clientes a sitios maliciosos.
GoDaddy es uno de los registradores de dominios más grandes del mundo, con casi 21 millones de clientes e ingresos en 2022 de casi $4 mil millones. en un presentación El jueves con la Comisión de Bolsa y Valores, la compañía dijo que el mismo intruso llevó a cabo tres eventos graves de seguridad que comenzaron en 2020 y duraron hasta 2022.
“Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy”, dijo la compañía. fijado. La presentación dice que la investigación de la compañía está en curso.
El evento más reciente ocurrió en diciembre pasado cuando el actor de amenazas obtuvo acceso a la cPanel servidores de alojamiento que los clientes usan para administrar sitios web alojados por GoDaddy. Luego, el actor de amenazas instaló malware en los servidores que “redirigían intermitentemente sitios web de clientes aleatorios a sitios maliciosos”.
“Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que se enfocó en servicios de alojamiento como GoDaddy”, escribieron funcionarios de la compañía en un comunicado. declaración separada publicado el jueves. “Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas”.
Un evento separado ocurrió en marzo de 2020, cuando el actor de amenazas obtuvo credenciales de inicio de sesión que le dieron acceso a una “pequeña cantidad” de cuentas de empleados y las cuentas de alojamiento de aproximadamente 28,000 clientes. Las credenciales de inicio de sesión del alojamiento no permitieron acceder a la cuenta principal de GoDaddy de los clientes. La violación se reveló en mayo de 2020 en un carta de notificación
GoDaddy descubrió un incidente separado en noviembre de 2021 cuando el actor de amenazas obtuvo una contraseña que le dio acceso al código fuente del servicio de WordPress administrado de GoDaddy, que agiliza la creación y administración de sitios de clientes utilizando el sistema de administración de contenido de WordPress. A partir de septiembre de ese año, la parte no autorizada utilizó el acceso para obtener credenciales de inicio de sesión para cuentas de administrador de WordPress, cuentas de FTP y direcciones de correo electrónico para 1,2 millones de clientes de WordPress administrado actuales e inactivos. GoDaddy reveló la violación en 22 de noviembre de 2021.
A lo largo de los años, las fallas de seguridad y las vulnerabilidades han dado lugar a una serie de eventos sospechosos que involucran a una gran cantidad de sitios alojados por GoDaddy. En 2019, por ejemplo, un servicio de sistema de nombres de dominio mal configurado en GoDaddy permitió a los piratas informáticos secuestrar docenas de sitios web propiedad de Expedia, Yelp, Mozilla y otros y usarlos para publicar una nota de rescate que amenazaba con volar edificios y escuelas. La vulnerabilidad de DNS explotada por los piratas informáticos había salido a la luz tres años antes.
También en 2019, un investigador descubrió una campaña que usaba cientos de cuentas de clientes de GoDaddy comprometidas para crear 15.000 sitios web que publicaba spam promocionando productos para bajar de peso y otros bienes que prometían resultados milagrosos.