En una notificación de violación de datos publicada de ayer, la empresa GoDaddy dijo que los datos de hasta 1.2 millones de sus clientes quedaron expuestos después de que diferentes grupos de ciberdelincuentes accedieran al entorno de alojamiento de WordPress gestionado de la empresa. El incidente fue descubierto por GoDaddy el pasado miércoles, el 17 de noviembre, pero los atacantes tuvieron acceso a su red y a los datos contenidos en los sistemas vulnerados desde al menos el 6 de septiembre de 2021.
«Identificamos una actividad sospechosa en nuestro entorno de alojamiento de WordPress gestionado e inmediatamente comenzamos una investigación con la ayuda de una empresa forense de TI y nos pusimos en contacto con las fuerzas del orden… Utilizando una contraseña comprometida, un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredada para WordPress gestionado… Nuestra investigación está en curso y estamos contactando con todos los clientes afectados directamente con detalles específicos. Los clientes también pueden ponerse en contacto con nosotros a través de nuestro centro de ayuda que incluye números de teléfono según el país.» dijo Demetrius Comes, Director de Seguridad de la Información de GoDaddy.
Los atacantes pudieron acceder a la siguiente información de los clientes de GoDaddy utilizando la contraseña comprometida:
- Hasta 1.2 millones de clientes activos e inactivos de Managed WordPress tuvieron su dirección de correo electrónico y número de cliente expuestos. La exposición de las direcciones de correo electrónico supone un riesgo de ataques de phishing.
- La contraseña original de administración de WordPress que se estableció en el momento de la provisión quedó expuesta. Si esas credenciales aún estaban en uso, restablecimos esas contraseñas.
- En el caso de los clientes activos, se expusieron los nombres de usuario y las contraseñas de sFTP y de la base de datos. Restablecimos ambas contraseñas.
- Para un subconjunto de clientes activos, se expuso la clave privada de SSL. Estamos emitiendo e instalando nuevos certificados para esos clientes.
- La compañía también reveló una brecha el año pasado, en mayo, cuando alertó a algunos de sus clientes de que una parte no autorizada utilizó las credenciales de su cuenta de alojamiento web en octubre para conectarse a su cuenta de alojamiento a través de SSH.
El equipo de seguridad de GoDaddy descubrió ese incidente después de detectar un archivo SSH alterado en el entorno de alojamiento de GoDaddy y una actividad sospechosa en un subconjunto de servidores de GoDaddy.
En 2019, los estafadores también utilizaron cientos de cuentas comprometidas de GoDaddy para crear 15.000 subdominios, intentando hacerse pasar por sitios web populares y redirigir a las víctimas potenciales a páginas de spam que empujan productos de aceite de serpiente. A principios de 2019, se descubrió que GoDaddy inyectaba JavaScript en los sitios de los clientes estadounidenses sin su conocimiento, lo que potencialmente los dejaba inoperativos o afectaba a su rendimiento general.
Más información
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.