GoDaddy dijo el viernes que su red sufrió un compromiso de seguridad de varios años que permitió a atacantes desconocidos robar el código fuente de la empresa, las credenciales de inicio de sesión de clientes y empleados e instalar malware que redirigió los sitios web de los clientes a sitios maliciosos.
GoDaddy es uno de los registradores de dominios más grandes del mundo, con casi 21 millones de clientes e ingresos en 2022 de casi $4 mil millones. En una presentación el jueves ante la Comisión de Bolsa y Valores, la compañía dijo que el mismo intruso llevó a cabo tres eventos de seguridad graves que comenzaron en 2020 y duraron hasta 2022.
“Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy”, dijo la compañía. fijado. La presentación dice que la investigación de la compañía está en curso.
El evento más reciente ocurrió en diciembre pasado cuando el actor de amenazas obtuvo acceso a los servidores de alojamiento cPanel que los clientes usan para administrar sitios web alojados por GoDaddy. Luego, el actor de amenazas instaló malware en los servidores que «redirigían intermitentemente sitios web de clientes aleatorios a sitios maliciosos».
“Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que se enfocó en servicios de alojamiento como GoDaddy”, escribieron funcionarios de la compañía en un comunicado separado publicado el jueves. “Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas”.
Un evento separado ocurrió en marzo de 2020, cuando el actor de amenazas obtuvo credenciales de inicio de sesión que le dieron acceso a una «pequeña cantidad» de cuentas de empleados y las cuentas de alojamiento de aproximadamente 28,000 clientes. Las credenciales de inicio de sesión del alojamiento no permitieron acceder a la cuenta principal de GoDaddy de los clientes. La infracción se reveló en mayo de 2020 en una carta de notificación enviada a los clientes afectados. La compañía dijo el jueves que está respondiendo a las citaciones relacionadas con el incidente que la Comisión Federal de Comercio emitió en julio de 2020 y octubre de 2021.
GoDaddy descubrió un incidente separado en noviembre de 2021 cuando el actor de amenazas obtuvo una contraseña que le dio acceso al código fuente del servicio de WordPress administrado de GoDaddy, que agiliza la creación y administración de sitios de clientes utilizando el sistema de administración de contenido de WordPress. A partir de septiembre de ese año, la parte no autorizada utilizó el acceso para obtener credenciales de inicio de sesión para cuentas de administrador de WordPress, cuentas de FTP y direcciones de correo electrónico para 1,2 millones de clientes de WordPress administrado actuales e inactivos. GoDaddy reveló la infracción el 22 de noviembre de 2021.
A lo largo de los años, las fallas de seguridad y las vulnerabilidades han dado lugar a una serie de eventos sospechosos que involucran a una gran cantidad de sitios alojados por GoDaddy. En 2019, por ejemplo, un servicio de sistema de nombres de dominio mal configurado en GoDaddy permitió a los piratas informáticos secuestrar docenas de sitios web propiedad de Expedia, Yelp, Mozilla y otros y usarlos para publicar una nota de rescate que amenazaba con volar edificios y escuelas. La vulnerabilidad de DNS explotada por los piratas informáticos había salido a la luz tres años antes.
También en 2019, un investigador descubrió una campaña que utilizó cientos de cuentas de clientes de GoDaddy comprometidas para crear 15 000 sitios web que publicaban spam que promocionaba productos para bajar de peso y otros productos que prometían resultados milagrosos.