GoDaddy, una de las principales compañías de alojamiento web, ha informado de una brecha de seguridad en la que su entorno de alojamiento compartido cPanel fue vulnerado por atacantes desconocidos. Pudieron robar código fuente e instalar malware en los servidores en un ataque prolongado que duró varios años.
- GoDaddy es la mayor empresa proveedora de alojamiento web del mundo, con casi 21 millones de clientes
- GoDaddy dice que actores de amenazas desconocidos instalaron malware en sus servidores de alojamiento y robaron el código fuente después de hackear su entorno compartido cPanel
GoDaddy confirma que hackearon las cuentas de varios de sus clientes durante los últimos tres años
GoDaddy, la empresa registradora de dominios de Internet y de alojamiento web, ha presentado recientemente un nuevo informe (informe anual obligatorio 10-K) sobre su balance del año 2022 y deja una serie de datos reveladores.
Aunque los informes de los clientes alertaron a GoDaddy sobre esta violación de seguridad a principios de diciembre de 2022, los atacantes realmente habían ganado acceso a la red de la compañía varios años antes. Durante este tiempo, los atacantes pudieron utilizar sitios comprometidos para redirigir el tráfico a varios dominios desconocidos. Como uno de los mayores registradores de dominios del mundo, GoDaddy atiende a más de 20 millones de clientes en todo el mundo con sus servicios de alojamiento.
En noviembre de 2021, el entorno de alojamiento de WordPress fue comprometido por atacantes que robaron una contraseña comprometida usando ingeniería social. Aproximadamente 1,2 millones de usuarios de WordPress administrados se vieron afectados por esta violación de datos como resultado de este problema.
Los atacantes obtuvieron acceso a la siguiente información:
- Direcciones de correo electrónico.
- Contraseñas de administrador de WordPress.
- Acceso a sFTP.
- Credenciales de la base de datos.
- Claves privadas SSL de un subconjunto de clientes activos.
En octubre de 2019, un atacante obtuvo acceso a las cuentas de alojamiento web de 28.000 clientes utilizando sus credenciales SSH. Descubrieron esta violación en marzo de 2020 y notificó rápidamente a los clientes afectados.
GoDaddy ha solicitado la ayuda de expertos externos en ciberseguridad y agencias de aplicación de la ley de todo el mundo como parte de una investigación en curso sobre la causa de la violación. Un grupo sofisticado y organizado, cuyo enfoque es en los servicios de alojamiento, fue el responsable de dicho ataque. El objetivo de los actores de amenazas es corromper sitios web y servidores con malware para ejecutar varias actividades maliciosas, como la distribución de malware adicional y campañas de phishing.
El gigante registrante emitió una disculpa a los clientes y visitantes del sitio web por cualquier inconveniente experimentado y está implementando mejoras en la seguridad de sus sistemas utilizando información obtenida del incidente para proteger mejor los datos de los clientes.
El origen de todo
En marzo de 2020, el desconocido actor de amenazas convirtió a GoDaddy en su objetivo predilecto. Consiguió obtener claves de acceso a cuentas de empleados y de alojamiento de unos 28.000 clientes aproximadamente. Es cierto que en ese momento no lograron acceder a la cuenta principal de GoDaddy de los clientes, pero supuso una alerta importante para toda la estructura empresarial interna. De hecho, la Comisión Federal de Comercio emitió el comunicado de la infracción entre julio de 2020 y octubre de 2021.
El 22 noviembre de 2021, GoDaddy detectó un nuevo incidente procedente del mismo grupo de ciberdelincuentes, el cual fue anunciado el día 22 del citado mes. En esa ocasión, los hackers obtuvieron una contraseña que le dio acceso al código fuente del servicio de WordPress administrado por la compañía.
Desde septiembre de ese mismo año, la parte no autorizada utilizó el acceso para obtener credenciales de inicio de sesión para cuentas de administrador de WordPress, cuentas de FTP y direcciones de correo electrónico para 1,2 millones de clientes de WordPress administrado.
El último ataque, en diciembre
Los servidores de alojamiento cPanel, usados por los clientes para administrar sitios web alojados por GoDaddy, recibieron un malware que conducía a los sitios webs de varios de sus clientes hasta sitios aleatorios. Todo se efectuó mediante campañas de phishing, distribución de malware y otras actividades maliciosas.
A pesar de que los ciberataques de mayor envergadura se iniciaron en 2020, años atrás se han producido episodios aislados de fallas de seguridad y vulnerabilidades que han puesto en jaque los sitios alojados por GoDaddy.
Así fue como en 2019 un servicio de sistema de nombres de dominio mal configurado en GoDaddy permitió a los piratas informáticos secuestrar docenas de sitios web que eran propiedad de Yelp, Mozilla, Expedia y otros, empleándolos para publicar una nota de rescate en la que amenazaba con atentar contra varios edificios y escuelas.
De igual modo, en ese mismo año, una investigación detectó que cientos de cuentas de clientes habían sido bloqueadas para crear 15.000 sitios web que se dedicaron a publicar spam encargado de promocionar productos para bajar de peso y dietas milagro.
Resulta curioso como una empresa de la envergadura de GoDaddy, uno de los mayores registradores de dominio del mundo, con casi 21 millones de clientes y unos ingresos de casi cuatro mil millones de euros en 2022, puede tener unos sistemas de seguridad tan vulnerables ante el acceso de los piratas informáticos.
No obstante, la compañía ha manifestados sus disculpas públicamente y ha asegurado mediante un comunicado oficial: “Estamos utilizando las lecciones de este incidente para mejorar la seguridad de nuestros sistemas y proteger aún más a nuestros clientes y sus datos”.
Fuentes: