GoDaddy a subi une faille de sécurité qui a donné à un attaquant l'accès à plus d'un million d'adresses e-mail appartenant aux utilisateurs WordPress gérés actifs et inactifs de l'entreprise, selon une divulgation qu'il a déposée auprès de la SEC lundi.< /p>
La société affirme que l'attaquant a eu accès à un système d'approvisionnement (destiné à installer et configurer automatiquement de nouveaux sites lorsque les clients les créent) début septembre en “utilisant un mot de passe compromis”. GoDaddy dit qu'il a remarqué l'intrusion le 17 novembre et a immédiatement verrouillé l'attaquant avant de commencer une enquête et de contacter les forces de l'ordre.
Le mot de passe compromis a donné à l'attaquant l'accès aux e-mails et bien plus encore
Les pirates avaient accès à plus que les adresses e-mail – ils pouvaient également voir les mots de passe d'administrateur WordPress d'origine définis par le fournisseur, ainsi que le informations d'identification pour les bases de données des utilisateurs actifs et les systèmes sFTP. La société affirme également que certains clients ont vu leurs clés SSL privées exposées, qui sont chargées de prouver qu'un site Web est bien celui qu'il prétend être (alimentant la petite icône de verrouillage que vous voyez souvent dans la barre d'adresse de votre navigateur).
Selon GoDaddy, il s'efforce d'atténuer les problèmes en réinitialisant les mots de passe affectés et en régénérant les certificats de sécurité si nécessaire. La société dit également qu'elle “contacte directement tous les clients concernés avec des détails spécifiques”. Bien que cela semble être des étapes appropriées, devoir gérer un mot de passe de réinitialisation sera probablement une nuisance pour certains de ses utilisateurs.
GoDaddy n'a pas immédiatement répondu à une demande de commentaire sur la façon dont l'attaquant a eu accès au mot de passe qui, selon l'entreprise, a été utilisé pour accéder à ses systèmes. Son annonce indique cependant que son enquête est en cours.
Lors d'intrusions récentes dans d'autres entreprises, le phishing ou l'ingénierie sociale ont été à blâmer (bien qu'il y ait également eu des cas de mauvaise sécurité des mots de passe). GoDaddy lui-même a une histoire assez bouleversante en testant la sensibilisation de ses employés à la cybersécurité en ce qui concerne les faux e-mails, mais les attaquants n'ont vraiment besoin d'avoir de la chance qu'une seule fois pour accéder à des trésors de données.