Posté le novembre 24, 2021 à 18:00
GODADDY AFFIRME QUE 1,2 MILLION DE SITES GODADDY ONT ÉTÉ PIRATÉS PENDANT DES MOIS
Le géant de l’hébergement Web GoDaddy a récemment révélé qu’une récente violation de données a conduit à l’accès non autorisé de plus d’un million de clients actifs et inactifs. C’est donc la troisième fois qu’un tel incident de sécurité est enregistré depuis 2018.
D’après les informations communiquées par Godaddy à la Commission des valeurs mobilières des États-Unis (SEC), un tiers malveillant a tenté d’accéder à son environnement d’hébergement WordPress géré en utilisant un mot de passe compromis. Le dépôt a révélé que les acteurs de la menace ont utilisé le mot de passe pour voler des informations sensibles sur leurs clients. Cependant, il n’est pas clair si le mot de passe volé était sécurisé par une authentification à deux facteurs.
Une enquête sur la violation est en cours
GoDaddy a déclaré avoir lancé une enquête sur la situation. La société a également déclaré qu’elle « contactait directement tous les clients concernés pour leur fournir des détails spécifiques. »
Les auteurs de la menace ont pu accéder aux numéros de clients et aux adresses électroniques d’environ 1,2 million de clients WordPress, actifs ou inactifs.
Ils ont également accédé aux clés privées SSL d’un sous-ensemble de clients actifs, aux noms d’utilisateur SFTP et de base de données, ainsi qu’au mot de passe d’origine de l’administrateur WordPress défini au moment du provisionnement.
GoDaddy a également déclaré vouloir émettre et installer de nouveaux certificats pour les clients concernés. Par mesure de précaution, la plateforme indique qu’elle a réinitialisé le mot de passe concerné et qu’elle va améliorer ses systèmes de sécurité pour éviter de nouvelles attaques.
Une faille dans le système de protection des mots de passe de GoDaddy
Le directeur général de Wordfence, Mark Maunder, a déclaré que GoDaddy stocke généralement les mots de passe SFTP d’une manière qui permet de récupérer facilement les versions en clair. Il a ajouté que la plateforme n’utilise pas la meilleure pratique du secteur, qui consiste à fournir une authentification à clé publique ou à stocker des hachages salés des mots de passe.
Bien que les violations de données soient plus fréquentes que jamais, l’exposition des mots de passe et des adresses électroniques présente des risques élevés d’attaques de phishing. En outre, les hackers auront la possibilité d’infiltrer les sites WordPress exposés pour y implanter des logiciels malveillants. Cela signifie que les hackers, lorsqu’ils ont réussi à infiltrer le système, peuvent creuser plus profondément pour accéder aux informations personnelles identifiables stockées dans le système affecté.
Maunder ajoute que les hackers peuvent facilement décrypter le trafic en utilisant la clé privée SSL volée sur les sites où la clé privée SSL a été exposée.
La popularité de WordPress parmi les créateurs de sites Web en a fait une cible constante pour les acteurs malveillants. La plateforme alimente plus de 42 % de tous les sites Web, ce qui en fait un cas très sérieux chaque fois qu’une violation est signalée.
GoDaddy est l’une des plus grandes entreprises d’hébergement Web au monde, avec des dizaines de millions de sites hébergés par la plateforme.
Le dernier piratage a été découvert sur les serveurs WordPress gérés par Godaddy. Selon le géant de l’hébergement Web, la violation a été découverte le 6 septembre.
La violation expose les clients concernés au risque d’attaques de phishing
WordPress a déclaré que le service géré est une plateforme d’hébergement optimisée et rationalisée qui permet de créer et de gérer des sites WordPress. D’autre part, GoDaddy se charge des tâches administratives de base de l’hébergement, comme la mise en cache au niveau du serveur, les mises à jour du noyau WordPress, les sauvegardes quotidiennes automatisées et l’installation de WordPress.
GoDaddy a averti les utilisateurs concernés que la récente exposition peut les exposer à un risque accru de plusieurs attaques, mais surtout d’attaques par hameçonnage à l’avenir. L’entreprise a également admis que ceux qui n’ont pas changé leur mot de passe initial lors de l’installation de WordPress courent un plus grand risque de violation. Selon l’hébergeur, les acteurs de la menace peuvent avoir eu accès aux sites Web de ceux qui n’ont pas changé leur mot de passe initial.
Les sites WordPress sont plus susceptibles d’être piratés
WordPress est une plateforme open-source, ce qui la rend plus attrayante pour les hackers qui cherchent à implanter des logiciels malveillants et à voler des informations confidentielles. La semaine dernière, BleepingComputer a signalé qu’une nouvelle vague d’attaque avait pénétré dans près de 300 sites WordPress et affiché de faux avis de cryptage. Les acteurs de la menace tentaient de tromper les propriétaires des sites et de les inciter à payer 0,1 bitcoin (BTC) pour la restauration. Les demandes de rançon sont également accompagnées d’un compte à rebours qui induit un sentiment d’urgence et incite l’administrateur à payer la rançon rapidement. Les attaques ont été signalées par la société de cybersécurité Sucuri alors qu’elle effectuait une réponse aux incidents pour un client.
Sucuri a repéré environ 290 sites Web touchés par la violation en utilisant une recherche Google. Selon l’entreprise de sécurité, les sites affectés contiennent des sites nettoyés et d’autres qui affichent encore des notes de rançon.
