Le gestionnaire de noms de domaine GoDaddy a récemment annoncé une violation de données affectant 1,2 million de clients via son environnement de gestion des hébergement WordPress. Voici comment s'est déroulée la fuite de donnée.
Les incidents de sécurité affectant WordPress ont été d'une priorité notable ces dernières années, car de plus en plus d'entreprises s'appuient sur ce système de gestion de contenu extrêmement populaire pour alimenter leurs sites Web.
La dernière entreprise à être victime des failles de sécurité de WordPress est le gestionnaire de domaine GoDaddy, qui a récemment rendu public l'accès de tiers non autorisés à son environnement de gestion des hébergements WordPress, affectant jusqu'à 1,2 million de clients actifs et inactifs.
Chronologie des violations de données de GoDaddy WordPress
17 novembre 2021 - GoDaddy découvre un accès tiers non autorisé sur Managed WordPress
Dans un dossier de la Securities and Exchange Commission (SEC) , Demetrius Comes, le RSSI de GoDaddy, a annoncé que l'organisation avait découvert un accès non autorisé à ses serveurs de gestion WordPress. GoDaddy a déterminé que l'incident avait commencé le 6 septembre 2021 et a exposé des données sur 1,2 million de clients WordPress actifs et inactifs."Nous avons identifié une activité suspecte dans notre environnement d'hébergement WordPress géré et avons immédiatement commencé une enquête avec l'aide d'une société d'expertise informatique et contacté les forces de l'ordre", a déclaré Demetrius Comes. « À l'aide d'un mot de passe compromis, un tiers non autorisé a accédé au système d'approvisionnement dans notre base de code héritée pour Managed WordPress. »
* Jusqu'à 1.2 million de clients WordPress actifs et inactifs ont vu leur adresse e-mail et leur numéro de client exposés, ce qui présente un risque d'attaques de phishing
* Les mots de passe administrateur WordPress qui ont été défini au moment de la création de compte ont été exposés. Si ces informations d'identification étaient toujours utilisées, GoDaddy lance la réinitialisation de ces mots de passe.
* Pour les clients actifs, les noms d'utilisateur et les mots de passe sFTP et de base de données ont été exposés. GoDaddy réinitialise les deux mots de passe.
* Pour quelques clients actifs, la clé privée SSL a été exposée. GoDaddy est en train d'émettre et d'installer de nouveaux certificats pour ces clients
« Nous sommes sincèrement désolés pour cet incident et l'inquiétude qu'il suscite chez nos clients. Nous, dirigeants et employés de GoDaddy, prenons très au sérieux notre responsabilité de protéger les données de nos clients et ne voulons jamais les laisser tomber.
22 novembre 2021 - GoDaddy annonce une violation de données
GoDaddy révèle la fuite dans le dossier Securities and Exchange Commission (SEC) et a annoncé qu'il avait bloqué le tiers non autorisé de ses systèmes. Alors que l'enquête se poursuit, GoDaddy a déterminé que le tiers avait exploité une vulnérabilité pour accéder aux informations client suivantes :* Jusqu'à 1.2 million de clients WordPress actifs et inactifs ont vu leur adresse e-mail et leur numéro de client exposés, ce qui présente un risque d'attaques de phishing
* Les mots de passe administrateur WordPress qui ont été défini au moment de la création de compte ont été exposés. Si ces informations d'identification étaient toujours utilisées, GoDaddy lance la réinitialisation de ces mots de passe.
* Pour les clients actifs, les noms d'utilisateur et les mots de passe sFTP et de base de données ont été exposés. GoDaddy réinitialise les deux mots de passe.
* Pour quelques clients actifs, la clé privée SSL a été exposée. GoDaddy est en train d'émettre et d'installer de nouveaux certificats pour ces clients
« Nous sommes sincèrement désolés pour cet incident et l'inquiétude qu'il suscite chez nos clients. Nous, dirigeants et employés de GoDaddy, prenons très au sérieux notre responsabilité de protéger les données de nos clients et ne voulons jamais les laisser tomber.
Nous tirerons les leçons de cet incident et prenons déjà des mesures pour renforcer notre système d'approvisionnement avec des couches de protection supplémentaires », a déclaré Demetrius Comes.
« L'une des révélations les plus surprenantes de la brèche GoDaddy est peut-être le délai entre l'attaque initiale et la découverte de la brèche par l'entreprise plus d'un mois plus tard », a déclaré Dominic Trott, Directeur Britannique d'Orange Cyberdefense.
23 novembre 2021 - l'industrie de la cybersécurité réagit et les revendeurs d'hebergement WordPress révèlent être touchés
À la suite de l'annonce de la violation de données de GoDaddy, des experts dans le domaine de la cybersécurité ont partagé leurs réactions et leurs points de vue sur l'incident, la réponse de GoDaddy et les implications plus larges pour les organisations et les utilisateurs.
« L'une des révélations les plus surprenantes de la brèche GoDaddy est peut-être le délai entre l'attaque initiale et la découverte de la brèche par l'entreprise plus d'un mois plus tard », a déclaré Dominic Trott, Directeur Britannique d'Orange Cyberdefense.
« Un manque d'activité de détection et de réponse aux menaces 24 heures sur 24 laissera inévitablement des actifs critiques tels que les données client à un risque d'exploitation beaucoup plus grand, exposant GoDaddy à des dommages à la fois pour sa réputation et pour ses finances.
Dans ce cas, 1.2 million d'adresses e-mails et de mots de passe de comptes ont été piratés, laissant les clients vulnérables à la menace de phishing qui pourrait les mettre en danger, eux, leurs appareils personnels et leurs finances.
L'expert en cryptographie numérique et CTO de Sectigo, Nick France, a déclaré que les violations de cette nature dans lesquelles de grandes quantités de clés privées sont compromises conduisent finalement à des événements où les certificats compromis doivent tous être révoqués dans un très court laps de temps. « L'impact que cela peut avoir sur les entreprises qui dépendent de ces certificats peut être important. »
En effet, une fuite de cette taille est particulièrement dangereuse pendant les vacances, a ajouté Ed Williams, directeur de Trustwave SpiderLabs. "Les pirates tentent de tirer parti de chaque nouvelle adresse e-mail et mot de passe exposés pour tenter de lancer des attaques de phishing et des programmes d'ingénierie sociale."
Wordfence a confirmé qu'au moins six revendeurs de GoDaddy Managed Wordpress ont également été touchés par la violation : tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet et Host Europe. GoDaddy a déclaré que seul un petit nombre de clients revendeurs étaient concernés.
L'expert en cryptographie numérique et CTO de Sectigo, Nick France, a déclaré que les violations de cette nature dans lesquelles de grandes quantités de clés privées sont compromises conduisent finalement à des événements où les certificats compromis doivent tous être révoqués dans un très court laps de temps. « L'impact que cela peut avoir sur les entreprises qui dépendent de ces certificats peut être important. »
En effet, une fuite de cette taille est particulièrement dangereuse pendant les vacances, a ajouté Ed Williams, directeur de Trustwave SpiderLabs. "Les pirates tentent de tirer parti de chaque nouvelle adresse e-mail et mot de passe exposés pour tenter de lancer des attaques de phishing et des programmes d'ingénierie sociale."
Wordfence a confirmé qu'au moins six revendeurs de GoDaddy Managed Wordpress ont également été touchés par la violation : tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet et Host Europe. GoDaddy a déclaré que seul un petit nombre de clients revendeurs étaient concernés.
Mots-clés : #Godaddywordpress #Fuitededonnées #Hébergementwordpressfaille #Godaddyattaqueinformatique
