Le registraire de domaine et société d’hébergement web aurait été piraté, d’après Threat Post.
S’exprimant sur Threat Post, Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel, a déclaré qu’il est possible que l’attaquant a eu accès à des comptes clients pendant environ 7 mois avant qu’ils ne soit découvert :
GoDaddy a fourni quelques éclaircissements à Gizmodo.
Dans un communiqué, la société a déclaré qu’elle a trouvé un SSL non autorisé (un protocole de réseau qui fait une connexion sécurisée entre les clients Web et les serveurs Web sur un réseau non sécurisé) alors qu’elle effectuait des mises à jour de sécurité.
Une enquête interne a été ouverte immédiatement après, qui a déterminé que la date initiale de la violation pourrait se situer dans le courant du mois d’Octobre 2019.
GoDaddy a également déclaré qu’il n’avait "aucune indication que la personne a utilisé les informations d’identification de ses clients ou a modifié les comptes d’hébergement des clients."
Le pirate n’a pas eu accès aux principaux comptes GoDaddy des clients, selon la société.
GoDaddy a envoyé un courriel de formulaire aux personnes touchées, indiquant :
SSH, ou Secure Shell, est utilisé pour exploiter des services réseau en toute sécurité sur un réseau non sécurisé, comme l’accès au réseau de votre travail depuis la maison.
Dans ce cas, quelqu’un a pu accéder à des informations d’identification de compte personnel d’un nombre inconnu de clients qui lui auraient permis de se connecter à leurs comptes et d’accéder potentiellement à des numéros de carte de crédit stockés ou à d’autres informations sensibles.
Comme l’exige le Code civil de Californie s. 1798.29(e) et le Code civil de Californie s. 1798.82(f) :
Selon GoDaddy, la violation a touché 28.000 clients. La loi californienne exige que toutes les entreprises avisent chacun de leurs clients s’il y a même la possibilité que leurs données personnelles soient compromises.
Le formulaire que GoDaddy aurait dû remplir comporte des sections pour « Date (s) de Découverte de violation » et « Date(s) Avis individuel fourni aux consommateurs », mais encore une fois, si vous regardez ce qui a été soumis, ces renseignements sont manquants, ce qui aurait pu causer une partie de la confusion initiale dans d’autres rapports de la violation.
Que vous ayez ou non reçu une notification de violation de GoDaddy, si vous êtes un client, il serait intelligent de mettre à jour vos informations d’identification de compte dès maintenant.
Selon le procureur général de Californie, GoDaddy a présenté le rapport sur la violation le 3 Mai 2020, il y a à peine 3 jours, mais la violation elle-même s’est produite en Octobre 2019.
S’exprimant sur Threat Post, Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel, a déclaré qu’il est possible que l’attaquant a eu accès à des comptes clients pendant environ 7 mois avant qu’ils ne soit découvert :
GoDaddy devrait fournir plus d’informations sur l’enquête et les preuves à l’appui de cette allégation ainsi qu’expliquer pourquoi il a fallu près de 6 mois pour détecter.
GoDaddy a fourni quelques éclaircissements à Gizmodo.
Dans un communiqué, la société a déclaré qu’elle a trouvé un SSL non autorisé (un protocole de réseau qui fait une connexion sécurisée entre les clients Web et les serveurs Web sur un réseau non sécurisé) alors qu’elle effectuait des mises à jour de sécurité.
Une enquête interne a été ouverte immédiatement après, qui a déterminé que la date initiale de la violation pourrait se situer dans le courant du mois d’Octobre 2019.
L’entreprise a été en mesure de déterminer quels clients ont été touchés par la violation le 23 Avril 2020, puis a immédiatement réinitialiser les noms d’utilisateur et les mots de passe de ces clients.
GoDaddy a également déclaré qu’il n’avait "aucune indication que la personne a utilisé les informations d’identification de ses clients ou a modifié les comptes d’hébergement des clients."
Le pirate n’a pas eu accès aux principaux comptes GoDaddy des clients, selon la société.
GoDaddy a envoyé un courriel de formulaire aux personnes touchées, indiquant :
L’enquête a révélé qu’une personne non autorisée avait accès à vos informations de connexion utilisées pour se connecter via SSH sur votre compte d’hébergement.
Nous n’avons aucune preuve que des fichiers ont été ajoutés ou modifiés sur votre compte. L’individu non autorisé a été bloqué de nos systèmes, et nous continuons d’enquêter sur l’impact potentiel dans notre environnement.
SSH, ou Secure Shell, est utilisé pour exploiter des services réseau en toute sécurité sur un réseau non sécurisé, comme l’accès au réseau de votre travail depuis la maison.
Dans ce cas, quelqu’un a pu accéder à des informations d’identification de compte personnel d’un nombre inconnu de clients qui lui auraient permis de se connecter à leurs comptes et d’accéder potentiellement à des numéros de carte de crédit stockés ou à d’autres informations sensibles.
Comme l’exige le Code civil de Californie s. 1798.29(e) et le Code civil de Californie s. 1798.82(f) :
Toute personne ou entreprise qui est tenue d’émettre une notification d’atteinte à la sécurité à plus de 500 résidents de la Californie à la suite d’une seule violation du système de sécurité doit soumettre électroniquement une seule copie d’échantillon de cette notification de violation de sécurité.
Selon GoDaddy, la violation a touché 28.000 clients. La loi californienne exige que toutes les entreprises avisent chacun de leurs clients s’il y a même la possibilité que leurs données personnelles soient compromises.
Le formulaire que GoDaddy aurait dû remplir comporte des sections pour « Date (s) de Découverte de violation » et « Date(s) Avis individuel fourni aux consommateurs », mais encore une fois, si vous regardez ce qui a été soumis, ces renseignements sont manquants, ce qui aurait pu causer une partie de la confusion initiale dans d’autres rapports de la violation.
Que vous ayez ou non reçu une notification de violation de GoDaddy, si vous êtes un client, il serait intelligent de mettre à jour vos informations d’identification de compte dès maintenant.
