Sommaire
GoDaddy : une fuite de données de 1.2 million de clients WordPress
Problème :WordPress est le CMS (système de gestion de contenu) le plus populaire actuellement utilisé sur le Web, et GoDaddy est l’une des solutions d’hébergement Web les plus courantes et les plus abordables. Une violation de données chez GoDaddy a exposé 1,2 million de comptes WordPress à des risques de sécurité et à des violations de données.
Si vous utilisez WordPress et GoDaddy pour votre site Web et que vous gérez votre site Web avec un plan d’hébergement géré GoDaddy, nous vous recommandons vivement de modifier vos mots de passe immédiatement, sans quoi cela pourrait avoir des effets catastrophiques pour votre entreprise et votre vie personnelle.
Résoudre :GoDaddy a assumé la responsabilité des fuites de données et a annoncé qu’il contactait de manière proactive tous les clients susceptibles d’être touchés.
Problème :Une violation de données s’est produite, affectant les opportunités de croissance pour les entreprises en faisant fuir les clients ou en ternissant leur marque.
Une violation de données nuit non seulement à l’entreprise touchée, mais ternit également les activités de ses clients.
La violation ne semble pas avoir d’impact sur les clients GoDaddy avec d’autres produits, tels que les enregistrements de noms de domaine ou ceux avec des plans auto-hébergés. Les utilisateurs de WordPress avec un plan d’hébergement géré (accessible via un panneau de configuration GoDaddy) semblent être le seul groupe touché pour le moment, l’intrus utilisant des identifiants de connexion volés pour consulter les numéros de client et les adresses e-mail. Certains clients peuvent également avoir leurs informations d’identification sFTP et leurs clés privées SSL exposées.
La violation de données GoDaddy expose les adresses e-mail et les informations d’identification d’administrateur limitées pour les sites WordPress gérés
Une notification SEC obligatoire révèle que la violation de données a été découverte le 17 novembre. Demetrius Comes, directeur de la sécurité des informations pour GoDaddy, déclare qu’un tiers non autorisé a accédé au système de provisionnement dans la base de code héritée pour les utilisateurs de WordPress avec des comptes gérés. La fenêtre de violation de données a apparemment commencé le 6 septembre ; GoDaddy dit que le pirate informatique utilisait un mot de passe compromis et que le compte a été bloqué immédiatement après sa découverte. La violation de données a apparemment été découverte par Wordfence, un plugin tiers populaire auprès des utilisateurs de WordPress pour la sécurité de base automatisée des sites Web.
Étant donné que la fenêtre de violation de données s’est étendue sur plus de deux mois, il est raisonnable de s’attendre à ce que toutes les données auxquelles l’attaquant avait accès aient été exfiltrées. Heureusement, pour de nombreux utilisateurs de WordPress, cela semble être limité à leur numéro de client et à leur adresse e-mail. Cependant, l’attaquant avait apparemment accès à d’anciens clients ainsi qu’à des clients actuels.
Certains utilisateurs de WordPress sont plus à risque. Le communiqué de presse indique que, pour les clients anciens et actuels, le mot de passe administrateur WordPress d’origine qui a été défini au moment du provisionnement a été exposé. GoDaddy dit qu’il a réinitialisé tous ces mots de passe à ce stade, mais la réutilisation des mots de passe pourrait fournir à l’attaquant d’autres opportunités ici.
Il existe des risques supplémentaires pour les clients actifs actuels. GoDaddy dit que les noms d’utilisateur et les mots de passe sFTP et de la base de données ont également été exposés. Tous les utilisateurs de WordPress n’auront pas configuré cette fonctionnalité , mais ceux qui l’ont fait peuvent avoir copié leur mot de passe principal pour l’utiliser. GoDaddy indique également qu’un « sous-ensemble » de clients supplémentaires a vu ses clés privées SSL (utilisées pour permettre aux sites d’avoir une connexion https sécurisée) exposées.
Les utilisateurs WordPress impactés ont été contactés directement
GoDaddy dit qu’il a contacté ses utilisateurs WordPress qui ont peut-être été compromis et qu’il « prend des mesures pour renforcer notre système d’approvisionnement avec des couches de protection supplémentaires ».
Bien que la violation de données ne semble pas avoir d’impact sur la majorité des 20 millions de clients estimés de la société, ses actions ont chuté de 1,6% après la nouvelle et ont continué sur une tendance à la baisse jusqu’à aujourd’hui.
GoDaddy n’a pas précisé les mesures qu’il prenait pour améliorer la sécurité, mais on espère que ne pas continuer à stocker les mots de passe sFTP en texte brut serait le premier élément de la liste. Des experts en sécurité ont pesé sur les réseaux sociaux pour signaler qu’il ne s’agit pas d’une pratique courante et que cela devrait être considéré comme un grave échec. Les certificats SSL sont une solution relativement simple, avec plusieurs moyens désormais disponibles pour n’importe quel site d’en obtenir un gratuitement, mais c’est un autre domaine où la fenêtre de violation de données est très préoccupante. Au cours des deux mois et plus auxquels l’attaquant a eu accès, les sites des utilisateurs de WordPress ont pu avoir des URL valides piratées par des imposteurs, ce qui est plus probable si l’administrateur n’avait pas prêté une attention particulière au site pendant cette période.
« L’exposition des adresses e-mail présente un risque d’attaques de phishing. Le mot de passe administrateur WordPress d’origine qui a été défini au moment du provisionnement a été exposé. Si ces informations d’identification étaient toujours utilisées, nous réinitialisons ces mots de passe », a-t-il ajouté.
Pour certains clients actifs, « les noms d’utilisateur et les mots de passe sFTP et de base de données ont été exposés », a déclaré GoDaddy, ajoutant qu’il réinitialisait les deux mots de passe. La clé privée SSL de certains clients actifs a également été exposée et la société d’hébergement Web a déclaré qu’elle était en train de « émettre et d’installer de nouveaux certificats pour ces clients ».
GoDaddy a subi une autre violation de données au début de 2020, qui a également eu un impact sur ses services d’hébergement Web. Un attaquant a réussi à accéder aux comptes SSH de plus de 20 000 clients, mais il n’est pas clair s’il a volé ou modifié des fichiers avant d’être bloqué. GoDaddy a envoyé des notifications individuelles par e-mail aux clients concernés et leur a offert un abonnement gratuit d’un an aux services Website Security Deluxe et Express Malware Removal de l’entreprise. Matt Sanders, directeur de la sécurité chez LogRhythm, souligne que l’historique de sécurité récent de GoDaddy avant 2020 est également quelque peu inégal : « Malheureusement, cet incident est la quatrième fois au cours des dernières années que GoDaddy subit une violation de données ou une cyberattaque. La violation de données de ce mois-ci fait suite au piratage d’un domaine de crypto-monnaie géré par GoDaddy en novembre dernier, un utilisateur non autorisé qui a violé 28, 000 comptes en mai dernier et une erreur AWS qui a exposé les données du serveur GoDaddy en 2018. Lorsqu’une organisation subit une cyberattaque, cela peut signaler un manque de contrôles et de politiques de sécurité appropriés, faisant de l’organisation une cible encore plus attrayante pour les cybercriminels. Pour que les informations personnelles précieuses soient correctement protégées dans ces bases de données, les entreprises doivent mettre en œuvre des solutions de surveillance de la sécurité fiables qui permettent une visibilité complète sur les écosystèmes informatiques.
Ce n’est pas la première fois que la société d’hébergement Web fait la une des journaux pour n’avoir pas réussi à empêcher un incident de sécurité. En octobre 2019, une personne non autorisée a eu accès aux informations de connexion utilisées pour se connecter à SSH sur un grand nombre de comptes d’hébergement. Après avoir découvert l’intrusion, GoDaddy a réinitialisé les informations de connexion du compte d’hébergement pour empêcher tout accès non autorisé potentiel.
Fin 2018, un groupe de cybercriminels a exploité une vulnérabilité d’authentification cruciale dans le processus d’enregistrement de domaine de GoDaddy pour détourner plus de 4 000 domaines. Ils ont ensuite utilisé les domaines pour cibler des centaines d’organisations avec des e-mails malveillants, menaçant de bombarder ces dernières si elles ne payaient pas 20 000 $ en bitcoins.
La campagne criminelle a forcé les travailleurs de centaines d’écoles, d’universités, d’hôpitaux, de maisons de presse, de stations de métro et de centres communautaires aux États-Unis et au Canada à évacuer leurs locaux et à appeler les autorités chargées de l’application des lois. Une enquête a révélé que les criminels utilisaient 78 domaines appartenant à Expedia, Mozilla, Yelp et d’autres organisations pour envoyer les e-mails menaçants.