.
A GoDaddy disse na sexta-feira que sua rede sofreu um comprometimento de segurança de vários anos que permitiu que invasores desconhecidos roubassem o código-fonte da empresa, credenciais de login de clientes e funcionários e instalassem malware que redirecionava sites de clientes para sites maliciosos.
GoDaddy é um dos maiores registradores de domínio do mundo, com quase 21 milhões de clientes e receita em 2022 de quase US$ 4 bilhões. Em um documento apresentado na quinta-feira à Comissão de Valores Mobiliários, a empresa disse que três eventos graves de segurança, começando em 2020 e durando até 2022, foram realizados pelo mesmo intruso.
“Com base em nossa investigação, acreditamos que esses incidentes fazem parte de uma campanha de vários anos de um sofisticado grupo de agentes de ameaças que, entre outras coisas, instalou malware em nossos sistemas e obteve trechos de código relacionados a alguns serviços do GoDaddy”, disse a empresa. declarou. O documento disse que a investigação da empresa está em andamento.
O evento mais recente ocorreu em dezembro passado, quando o agente da ameaça obteve acesso aos servidores de hospedagem cPanel que os clientes usam para gerenciar sites hospedados pelo GoDaddy. O agente da ameaça instalou malware nos servidores que “redirecionava intermitentemente sites de clientes aleatórios para sites maliciosos”.
“Temos evidências, e a aplicação da lei confirmou, que este incidente foi realizado por um grupo sofisticado e organizado visando serviços de hospedagem como o GoDaddy”, escreveram funcionários da empresa em um comunicado separado publicado na quinta-feira. “De acordo com as informações que recebemos, seu objetivo aparente é infectar sites e servidores com malware para campanhas de phishing, distribuição de malware e outras atividades maliciosas”.
Um evento separado ocorreu em março de 2020, quando o agente da ameaça obteve credenciais de login que davam acesso a um “pequeno número” de contas de funcionários e contas de hospedagem de aproximadamente 28.000 clientes. As credenciais de login de hospedagem não forneciam acesso à conta GoDaddy principal dos clientes. A violação foi divulgada em maio de 2020 em uma carta de notificação enviada aos clientes afetados. A empresa disse na quinta-feira que está respondendo a intimações relacionadas ao incidente que a Federal Trade Commission emitiu em julho de 2020 e outubro de 2021.
GoDaddy descobriu um incidente separado em novembro de 2021, quando o agente da ameaça obteve uma senha que dava acesso ao código-fonte do serviço Managed WordPress da GoDaddy, que agiliza a criação e o gerenciamento de sites de clientes usando o sistema de gerenciamento de conteúdo WordPress. A partir de setembro daquele ano, a parte não autorizada usou o acesso para obter credenciais de login para contas de administração do WordPress, contas de FTP e endereços de e-mail para 1,2 milhão de clientes atuais e inativos do Managed WordPress. A GoDaddy divulgou a violação em 22 de novembro de 2021.
Ao longo dos anos, falhas de segurança e vulnerabilidades levaram a uma série de eventos suspeitos envolvendo um grande número de sites hospedados pelo GoDaddy. Em 2019, por exemplo, um serviço de sistema de nome de domínio mal configurado no GoDaddy permitiu que hackers sequestrassem dezenas de sites de propriedade da Expedia, Yelp, Mozilla e outros e os usassem para publicar uma nota de resgate ameaçando explodir prédios e escolas. A vulnerabilidade do DNS explorada pelos hackers veio à tona três anos antes.
Também em 2019, um pesquisador descobriu uma campanha que usava centenas de contas de clientes GoDaddy comprometidas para criar 15.000 sites que publicavam spam promovendo produtos para perda de peso e outros produtos que prometiam resultados milagrosos.
.
