GoDaddy dice que una violación de varios años ha secuestrado sitios web y cuentas de clientes
GoDaddy dijo el viernes que su red sufrió una brecha de seguridad de varios años que permitió a atacantes desconocidos robar el código fuente de la empresa, las credenciales de clientes y empleados e instalar malware que redirigió los sitios web de los clientes a sitios web maliciosos. GoDaddy es uno de los registradores de dominios más grandes del mundo, con casi 21 millones de clientes e ingresos de casi $ 4 mil millones en 2022. En una presentación del jueves ante la Comisión de Bolsa y Valores, la compañía dijo que se llevaron a cabo tres incidentes de seguridad importantes que afectaron 2020 y duraron hasta 2022. por el mismo intruso. «Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años de un grupo sofisticado de actores de amenazas que, entre otras cosas, instalaron malware en nuestros sistemas y obtuvieron fragmentos de código relacionados con algunos servicios dentro de GoDaddy», dijo el declaró la empresa. El archivo dice que las investigaciones de la compañía están en curso. El evento más reciente ocurrió en diciembre pasado cuando el atacante obtuvo acceso a los servidores de alojamiento cPanel que los clientes usan para administrar los sitios web alojados en GoDaddy. Luego, el atacante instaló malware en los servidores que «redirigían de forma intermitente los sitios web aleatorios de los clientes a sitios maliciosos». «Tenemos evidencia y la policía ha confirmado que este incidente fue perpetrado por un grupo sofisticado y organizado que tiene como objetivo los servicios de alojamiento como GoDaddy», escribieron los funcionarios de la compañía en un comunicado separado publicado el jueves. «Según la información que recibimos, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas». Un evento separado ocurrió en marzo de 2020 cuando el atacante obtuvo credenciales, que le otorgaron acceso a un «pequeño número» de cuentas de empleados y las cuentas de hosting de alrededor de 28.000 clientes. Las credenciales de alojamiento no otorgaron acceso a la cuenta principal de GoDaddy del cliente. La infracción se anunció en mayo de 2020 en una carta de notificación a los clientes afectados. La compañía anunció el jueves que está respondiendo a las citaciones relacionadas con el incidente que la Comisión Federal de Comercio emitió en julio de 2020 y octubre de 2021. GoDaddy descubrió un incidente separado en noviembre de 2021 cuando el atacante obtuvo una contraseña que brindaba acceso al código fuente del servicio de WordPress administrado de GoDaddy, que agiliza la creación y administración de sitios de clientes utilizando el sistema de administración de contenido de WordPress. A partir de septiembre de este año, la parte no autorizada usó el acceso para obtener las credenciales de la cuenta de administrador de WordPress, las cuentas de FTP y las direcciones de correo electrónico de 1,2 millones de clientes actuales e inactivos de Managed WordPress. GoDaddy reveló la infracción el 22 de noviembre de 2021. A lo largo de los años, los agujeros de seguridad y las vulnerabilidades han dado lugar a una serie de incidentes sospechosos que involucran a una gran cantidad de sitios web alojados por GoDaddy. Por ejemplo, en 2019, un servicio de sistema de nombres de dominio mal configurado en GoDaddy permitió a los piratas informáticos secuestrar docenas de sitios web de Expedia, Yelp, Mozilla y otros y usarlos para publicar una nota de rescate que amenazaba con volar edificios y escuelas. La vulnerabilidad DNS explotada por los piratas informáticos se había conocido tres años antes. También en 2019, un investigador descubrió una campaña que utilizó cientos de cuentas de clientes de GoDaddy comprometidas para crear 15 000 sitios web que publicaban spam que promocionaba productos para bajar de peso y otras mercancías que prometían resultados milagrosos.