GoDaddy a révélé lundi que son environnement d’hébergement WordPress géré avait été piraté par un tiers non autorisé à l’aide d’un mot de passe compromis.

La société d’hébergement Web populaire a affirmé que jusqu’à 1,2 million de clients WordPress gérés actifs et inactifs ont vu leur adresse e-mail et leurs numéros de client exposés.

Les clients de GoDaddy ont également été informés que le mot de passe administrateur WordPress d’origine défini lors de l’approvisionnement avait été exposé. Si ces informations d’identification étaient toujours utilisées, GoDaddy réinitialise les mots de passe. GoDaddy a également réinitialisé les mots de passe des clients actifs qui ont été exposés aux noms d’utilisateur et mots de passe sFTP et de base de données.

Selon une déclaration publiée par le fournisseur d’hébergement Web, la société a découvert la violation le 17 novembre. Alors que l’enquête est en cours, GoDaddy a déterminé que la violation remonte au 6 septembre.

Les analystes de la sécurité ont déclaré que la chose la plus troublante dans ce cas était que pour un sous-ensemble de clients actifs, les clés privées SSL étaient exposées. GoDaddy a déclaré qu’il émettait et installait de nouveaux certificats pour ces clients.

« Avec des clés privées et des certificats SSL compromis, les pirates peuvent détourner un nom de domaine et l’utiliser pour extorquer une rançon pour sa restitution », a déclaré Murali Palanisamy, directeur des solutions d’AppViewX. « Ils peuvent également rediriger les utilisateurs vers ce qui ressemble à un site Web identique et distribuer des logiciels malveillants ou collecter les informations d’identification des utilisateurs et les informations de carte de crédit et bien plus encore. Toutes ces menaces sont des événements au niveau de l’extinction. Conclusion : les hackers d’aujourd’hui savent ce qu’ils font. »

De nombreuses personnes et petites entreprises comptent sur WordPress et GoDaddy pour avoir une présence sur le Web, et ce type de violation peut avoir un impact majeur, a déclaré Javvad Malik, défenseur de la sensibilisation à la sécurité chez KnowBe4.

« Bien qu’il soit inquiétant que l’attaquant soit sur les serveurs de GoDaddy depuis plus de deux mois, la réponse de GoDaddy a été très bonne », a déclaré Malik. « La société a réinitialisé les mots de passe exposés pour le sFTP, la base de données et l’administrateur et installe de nouveaux certificats SSL. De plus, la société a contacté les forces de l’ordre, une équipe médico-légale et informé les clients. Tout cela est un playbook idéal à partir duquel d’autres organisations pourraient apprendre à mieux comprendre comment répondre à une violation. »

Ian McShane, directeur technique d’Arctic Wolf, a déclaré qu’il était inquiétant que ce pirate ait réussi à éviter de se faire prendre pendant environ deux mois.

« Le nombre de comptes concernés est si important qu’il semble que cela aurait été une opportunité lucrative pour les ransomwares, donc il peut y avoir plus à venir de cette histoire, d’autant plus que nous avons vu de plus en plus de violations se transformer en sagas de ransomwares et en extorsion. . ”, a déclaré McShane.