La violation de données de GoDaddy, qui a touché jusqu’à 1,2 million d’hôtes Web, s’est étendue à six autres hôtes Web desservant des clients dans le monde entier. Les six hôtes Web supplémentaires compromis sont des revendeurs des services d’hébergement de GoDaddy. L’ampleur de l’intrusion semble être la même que pour GoDaddy, avec des dates correspondantes pour le début de l’intrusion de sécurité.
Les six fournisseurs d’hébergement web compromis sont :
- 123Reg
- Domaine Factory
- Internet du cœur
- Hôte Europe
- Temple des médias
- tsoHost
Dates précises de l’intrusion
L’état de Californie a publié la notification d’une violation de sécurité soumise par GoDaddy le 23 novembre 2021.
Dans la notification californienne, GoDaddy a fourni des dates précises pour les intrusions de sécurité.
Les dates d’intrusion sont :
- 09/06/2021
- 09/07/2021
- 09/08/2021
- 09/09/2021
- 09/10/2021
- 09/11/2021
- 11/07/2021
Ces dates sont importantes car les clients d’au moins deux des hébergeurs ont reçu des avis faisant référence à la même date d’intrusion, le 6 septembre 2021 selon les informations publiées par Wordfence. Cela implique que les causes profondes des autres violations de données sont liées, au moins par la date si ce n’est plus.
Les notifications envoyées aux clients de GoDaddy et à au moins deux des autres hébergeurs sont également similaires.
Voici le texte d’une partie de l’e-mail envoyé aux clients de GoDaddy :
« Nous vous écrivons pour vous informer d’un incident de sécurité ayant un impact sur votre service d’hébergement GoDaddy Managed WordPress.
Le 17 novembre, nous avons identifié une activité suspecte dans notre environnement d’hébergement WordPress et nous avons immédiatement ouvert une enquête avec l’aide d’une société tierce d’informatique légale et avons contacté les forces de l’ordre.
Notre enquête est en cours, mais nous avons déterminé que, le 6 septembre 2021 ou aux alentours de cette date, un tiers non autorisé a eu accès à certaines informations d’authentification pour les services administratifs, en particulier votre numéro de client et votre adresse e-mail associés à votre compte, votre identifiant d’administration WordPress défini à l’origine, ainsi que vos identifiants sFTP et sFTP.
et vos noms d’utilisateur et mots de passe pour la base de données.Ce que cela signifie, c’est que la partie non autorisée aurait pu obtenir la possibilité d’accéder à votre service Managed WordPress et d’y apporter des modifications, notamment pour altérer votre site web et le contenu qui y est stocké. »
L’avis envoyé aux clients de GoDaddy est similaire à l’avis envoyé par courriel aux clients de MediaTemple.
Voici une partie de l’e-mail envoyé aux clients de MediaTemple :
« …nous avons déterminé que, le 6 septembre 2021 ou aux alentours de cette date, un tiers non autorisé a eu accès à certaines informations d’authentification pour les services administratifs, plus précisément, le numéro de client et l’adresse e-mail associés à votre compte ; votre identifiant de connexion WordPress Admin défini au départ ; et vos noms d’utilisateur et mots de passe sFTP et de base de données. »
Les administrateurs des hébergeurs respectifs ont réinitialisé les mots de passe et recommandent aux clients de réinitialiser leurs mots de passe. Ceux dont les données des certificats SSL ont été exposées peuvent avoir à réinstaller leurs certificats.
Les clients sont confrontés à des sites Web potentiellement compromis ?
Les clients des six autres fournisseurs d’hébergement Web qui ont fait l’objet d’une violation de données risquent d’être confrontés à d’autres problèmes de sécurité étant donné que leurs données sensibles ont été exposées pendant deux mois sans être détectées, ce qui a donné aux pirates le temps d’installer des portes dérobées, d’ajouter des comptes administratifs fictifs et de télécharger des scripts malveillants.
Citations
Lire l’avis de sécurité de Wordfence
Notification de violation de la sécurité des données en Californie
