GoDaddy a déclaré vendredi que son réseau avait subi un compromis de sécurité de plusieurs années qui permettait à des attaquants inconnus de voler le code source de l’entreprise, les identifiants de connexion des clients et des employés, et d’installer des logiciels malveillants qui redirigeaient les sites Web des clients vers des sites malveillants.
GoDaddy est l’un des plus grands bureaux d’enregistrement de domaines au monde, avec près de 21 millions de clients et un chiffre d’affaires en 2022 de près de 4 milliards de dollars. Dans un dossier déposé jeudi auprès de la Securities and Exchange Commission, la société a déclaré que trois événements de sécurité graves commençant en 2020 et se poursuivant jusqu’en 2022 avaient été commis par le même intrus.
« Sur la base de notre enquête, nous pensons que ces incidents font partie d’une campagne pluriannuelle menée par un groupe sophistiqué d’acteurs malveillants qui, entre autres, a installé des logiciels malveillants sur nos systèmes et obtenu des morceaux de code liés à certains services au sein de GoDaddy », a déclaré la société. déclaré. Le dossier indique que l’enquête de la société est en cours.
L’événement le plus récent s’est produit en décembre dernier lorsque l’auteur de la menace a eu accès aux serveurs d’hébergement cPanel que les clients utilisent pour gérer les sites Web hébergés par GoDaddy. L’auteur de la menace a ensuite installé des logiciels malveillants sur les serveurs qui « ont redirigé par intermittence des sites Web de clients aléatoires vers des sites malveillants ».
« Nous avons des preuves, et les forces de l’ordre ont confirmé, que cet incident a été commis par un groupe sophistiqué et organisé ciblant des services d’hébergement comme GoDaddy », ont écrit des responsables de l’entreprise dans un communiqué séparé publié jeudi. « Selon les informations que nous avons reçues, leur objectif apparent est d’infecter des sites Web et des serveurs avec des logiciels malveillants pour des campagnes de phishing, la distribution de logiciels malveillants et d’autres activités malveillantes. »
Un événement distinct s’est produit en mars 2020, lorsque l’auteur de la menace a obtenu des identifiants de connexion qui lui ont donné accès à un « petit nombre » de comptes d’employés et aux comptes d’hébergement d’environ 28 000 clients. Les identifiants de connexion de l’hébergement ne permettaient pas d’accéder au compte GoDaddy principal des clients. La violation a été divulguée en mai 2020 dans une lettre de notification envoyée aux clients concernés. La société a déclaré jeudi qu’elle répondait aux assignations à comparaître liées à l’incident que la Federal Trade Commission a émises en juillet 2020 et octobre 2021.
GoDaddy a découvert un incident distinct en novembre 2021 lorsque l’auteur de la menace a obtenu un mot de passe donnant accès au code source du service WordPress géré de GoDaddy, qui rationalise la création et la gestion des sites clients à l’aide du système de gestion de contenu WordPress. À partir de septembre de cette année-là, la partie non autorisée a utilisé l’accès pour obtenir les identifiants de connexion pour les comptes d’administrateur WordPress, les comptes FTP et les adresses e-mail de 1,2 million de clients WordPress gérés actuels et inactifs. GoDaddy a divulgué la violation le 22 novembre 2021.
Au fil des ans, les failles de sécurité et les vulnérabilités ont conduit à une série d’événements suspects impliquant un nombre massif de sites hébergés par GoDaddy. En 2019, par exemple, un service de système de noms de domaine mal configuré chez GoDaddy a permis aux pirates de détourner des dizaines de sites Web appartenant à Expedia, Yelp, Mozilla et d’autres et de les utiliser pour publier une note de rançon menaçant de faire sauter des bâtiments et des écoles. La vulnérabilité DNS exploitée par les hackers avait été découverte trois ans plus tôt.
Toujours en 2019, un chercheur a découvert une campagne qui utilisait des centaines de comptes clients GoDaddy compromis pour créer 15 000 sites Web qui publiaient du spam faisant la promotion de produits amaigrissants et d’autres produits promettant des résultats miraculeux.