GoDaddy, la empresa registradora de dominios de Internet y de alojamiento web, ha presentado recientemente un nuevo informe (informe anual obligatorio 10-K) sobre su balance del año 2022 y deja una serie de datos reveladores.
El más llamativo es que confirma haber sufrido, durante varios años, que un grupo de atacantes robase el código de fuente de la empresa y las credenciales de inicio de sesión de los clientes e instalase un malware malicioso. De este modo, se habría consagrado un compromiso a la ciberseguridad importante.
Su vulnerabilidad fue expuesta ante la Comisión de Bolsa y Valores de Estados Unidos, expresando que desde la irrupción de la pandemia la compañía había percibido un aumento considerable de ciberataques a sus clientes. Según investigaciones internas, podría tratarse de un mismo grupo sofisticado capaz de obtener, mediante un malware específico, fragmentos de código relacionados con algunos servicios dentro de GoDaddy.
En esta ocasión, el último ataque consistió en un reenvío de URL, que se define como una característica intachable de HTTP (el protocolo de transferencia de hipertexto). El objetivo es cambiar el nombre de dominio principal de la empresa pero mantener vivos todos los enlaces antiguos.
El origen de todo
En marzo de 2020, el desconocido actor de amenazas convirtió a GoDaddy en su objetivo predilecto. Consiguió obtener claves de acceso a cuentas de empleados y de alojamiento de unos 28.000 clientes aproximadamente. Es cierto que en ese momento no lograron acceder a la cuenta principal de GoDaddy de los clientes, pero supuso una alerta importante para toda la estructura empresarial interna. De hecho, la Comisión Federal de Comercio emitió el comunicado de la infracción entre julio de 2020 y octubre de 2021.
El 22 noviembre de 2021, GoDaddy detectó un nuevo incidente procedente del mismo grupo de ciberdelincuentes, el cual fue anunciado el día 22 del citado mes. En esa ocasión, los hackers obtuvieron una contraseña que le dio acceso al código fuente del servicio de WordPress administrado por la compañía.
Desde septiembre de ese mismo año, la parte no autorizada utilizó el acceso para obtener credenciales de inicio de sesión para cuentas de administrador de WordPress, cuentas de FTP y direcciones de correo electrónico para 1,2 millones de clientes de WordPress administrado.
El último ataque, en diciembre
Los servidores de alojamiento cPanel, usados por los clientes para administrar sitios web alojados por GoDaddy, recibieron un malware que conducía a los sitios webs de varios de sus clientes hasta sitios aleatorios. Todo se efectuó mediante campañas de phishing, distribución de malware y otras actividades maliciosas.
A pesar de que los ciberataques de mayor envergadura se iniciaron en 2020, años atrás se han producido episodios aislados de fallas de seguridad y vulnerabilidades que han puesto en jaque los sitios alojados por GoDaddy.
Así fue como en 2019 un servicio de sistema de nombres de dominio mal configurado en GoDaddy permitió a los piratas informáticos secuestrar docenas de sitios web que eran propiedad de Yelp, Mozilla, Expedia y otros, empleándolos para publicar una nota de rescate en la que amenazaba con atentar contra varios edificios y escuelas.
De igual modo, en ese mismo año, una investigación detectó que cientos de cuentas de clientes habían sido bloqueadas para crear 15.000 sitios web que se dedicaron a publicar spam encargado de promocionar productos para bajar de peso y dietas milagro.
Resulta curioso como una empresa de la envergadura de GoDaddy, uno de los mayores registradores de dominio del mundo, con casi 21 millones de clientes y unos ingresos de casi cuatro mil millones de euros en 2022, puede tener unos sistemas de seguridad tan vulnerables ante el acceso de los piratas informáticos.
No obstante, la compañía ha manifestados sus disculpas públicamente y ha asegurado mediante un comunicado oficial: “Estamos utilizando las lecciones de este incidente para mejorar la seguridad de nuestros sistemas y proteger aún más a nuestros clientes y sus datos”.
Fuente: https://www.muyseguridad.net/2023/02/20/godaddy-hackers-cuentas-clientes-tres-ultimos-anos/