Le piratage de GoDaddy affecte 1,2 million de sites WordPress

La société d’infrastructure Internet GoDaddy a déclaré lundi dernier qu’un pirate informatique avait eu accès aux informations personnelles de plus de 1,2 million de clients de son service d’hébergement .

Le piratage de GoDaddy affecte 1,2 million de sites WordPressGoDaddy a révélé qu’un attaquant inconnu avait obtenu un accès non autorisé au système utilisé pour provisionner les sites gérés de la société, impactant jusqu’à 1,2 million de leurs clients WordPress.

Notez que ce nombre n’inclut pas le nombre de clients de ces sites Web qui sont affectés par cette violation, et certains clients GoDaddy ont plusieurs sites gérés dans leurs comptes.

Dans des documents déposés auprès de la Securities and Exchange Commission des États-Unis, GoDaddy a déclaré avoir découvert le piratage la semaine dernière, le 17 novembre 2021, après avoir détecté une « activité suspecte » sur son environnement d’hébergement géré.

Selon le rapport déposé par GoDaddy auprès de la SEC [1], l’attaquant a d’abord obtenu l’accès via un mot de passe compromis le 6 Septembre 2021 et a été découvert le 17 novembre 2021, date à laquelle son accès a été révoqué.

Bien que la société ait pris des mesures immédiates pour atténuer les dommages, l’attaquant avait plus de deux mois pour établir la persistance, de sorte que toute personne utilisant actuellement le produit géré de GoDaddy devrait supposer un compromis jusqu’à ce qu’elle puisse confirmer que ce n’est pas le cas.

Il semble que GoDaddy stockait les informations d’identification sFTP soit en texte brut, soit dans un format qui pourrait être inversé en texte brut.

Ils l’ont fait plutôt que d’utiliser un hachage salé ou une clé publique, qui sont tous deux considérés comme les meilleures pratiques de l’industrie pour le sFTP. Cela permettait à un attaquant d’accéder directement aux informations d’identification du mot de passe sans avoir à les déchiffrer.

Selon leur dépôt auprès de la SEC:

Pour les clients actifs, les noms d’utilisateur et les mots de passe sFTP et de base de données ont été exposés.

À quoi l’attaquant avait-il accès ?

Le dépôt auprès de la SEC indique que l’attaquant avait accès aux adresses e-mail des utilisateurs et aux numéros de client, au mot de passe WordPress Admin d’origine défini au moment de la mise en service et aux clés privées SSL.

Tous ces éléments pourraient être utiles à un attaquant, mais un élément, en particulier, se démarque :

Au cours de la période allant du 6 Septembre 2021 au 17 Novembre 2021, les noms d’utilisateur et les mots de passe sFTP et de base de données des clients actifs étaient accessibles à l’attaquant.

GoDaddy a stocké les mots de passe sFTP de manière à ce que les versions en texte brut des mots de passe puissent être récupérées, plutôt que de stocker des hachages salés de ces mots de passe ou de fournir une authentification par clé publique, qui sont toutes deux les meilleures pratiques de l’industrie.

Ainsi, l’enquête ultérieure a révélé qu’un pirate informatique avait eu accès à ses serveurs pendant plus de de 2 mois, depuis au moins le 6 Septembre 2021.

Après avoir identifié cet incident, GoDaddy dit avoir immédiatement bloqué le tiers non autorisé de son système.

Son enquête est en cours, mais il a déterminé qu’à compter du 6 Septembre 2021, le tiers non autorisé a utilisé la vulnérabilité pour accéder aux renseignements suivants sur les clients :

• Jusqu’à 1,2 million de clients WordPress gérés actifs et inactifs ont vu leur adresse e-mail et leur numéro de client exposés. L’exposition des adresses e-mail présente un risque d’attaques de phishing.

• Le mot de passe Administrateur WordPress d’origine qui a été défini au moment de la mise en service a été exposé. Si ces informations d’identification étaient toujours utiliséGoDaddy réinitialisera ces mots de passe.

• Pour les clients actifs, les noms d’utilisateur et les mots de passe sFTP et de base de données ont été exposés, il réinitialise les deux mots de passe.

• Pour un sous-ensemble de clients actifs, la clé privée SSL a été exposée. GoDaddy est en train d’émettre et d’installer de nouveaux certificats pour ces clients.

Que dois-je faire si j’ai un site WordPress géré par GoDaddy ?

GoDaddy contactera les clients touchés au cours des prochains jours.

En attendant, compte tenu de la gravité du problème et des données auxquelles l’attaquant avait accès, GoDaddy recommande à tous les utilisateurs de WordPress gérés de supposer qu’ils ont été piratés et d’effectuer les actions suivantes :

  • Si vous exploitez un site e-commerce ou stockez des informations personnelles (informations personnellement identifiables) et que GoDaddy vérifie que vous avez été piratés, vous devrez peut-être informer vos clients de la violation.Veuillez faire des recherches sur les exigences réglementaires dans votre juridiction et vous assurer de vous conformer à ces exigences.
  • Changez tous vos mots de passe WordPress et, si possible, forcez une réinitialisation de mot de passe pour vos utilisateurs ou clients WordPress.Comme l’attaquant avait accès aux hachages de mot de passe dans chaque base de données WordPress touchée, il pouvait potentiellement craquer et utiliser ces mots de passe sur les sites touchés.
  • Modifiez les mots de passe réutilisés et conseillez à vos utilisateurs ou clients de le faire également.L’attaquant pourrait potentiellement utiliser des informations d’identification extraites des sites affectés pour accéder à d’autres services où le même mot de passe a été utilisé.Par exemple, si l’un de vos clients utilise sur votre site le même e-mail et le même mot de passe que pour son compte Gmail, le compte Gmail de ce client pourrait être piraté par l’attaquant une fois qu’il aura piraté le mot de passe de ce client.
  • Activez l’authentification à 2 facteurs dans la mesure du possible. Le plugin Wordfence fournit cela comme une fonctionnalité gratuite pour les sites WordPress, et la plupart des autres services offrent une option pour l’authentification à 2 facteurs.
  • Recherchez sur votre site les comptes d’administrateur non autorisés.
  • Analysez votre site à la recherche de logiciels malveillants à l’aide d’un scanner de sécurité.
  • Vérifiez le système de fichiers de votre site, y compris wp-content/plugins et wp-content/mu-plugins, pour tout plugin inattendu, ou plugins qui n’apparaissent pas dans le menu plugins, car il est possible d’utiliser des plugins légitimes pour maintenir un accès non autorisé.
  • Soyez à l’affût des e-mails suspects – le phishing est toujours un risque, et un attaquant pourrait toujours utiliser les e-mails extraits et les numéros de clients pour obtenir d’autres informations sensibles des victimes de cette compromission.

La violation de données WordPress gérée par GoDaddy est susceptible d’avoir des conséquences de grande portée.

L’offre WordPress gérée de GoDaddy constitue une partie importante de l’écosystème WordPress, ce qui affecte non seulement les propriétaires de sites, mais aussi leurs clients.

Le dépôt de la SEC indique que « jusqu’à 1,2 million de clients WordPress gérés actifs et inactifs » ont été affectés. Les clients de ces sites sont très probablement également touchés, ce qui rend le nombre de personnes touchées beaucoup plus important.

Pour le moment, toute personne utilisant l’offre WordPress gérée de GoDaddy devrait supposer que ses sites ont été compromis jusqu’à ce que de plus amples informations soient disponibles, et suivre les étapes que nous avons fournies dans cet article

Source : Wordfence

Auteur : Noel NGUESSAN

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe depuis 2007 et a aujourd'hui plus de 6.800 articles. Pour ma part, j'ai intégré le monde de l'internet en 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000, avant de basculer naturellement vers le SEO en tant que Consultant.