La empresa de alojamiento web y registrador de dominios GoDaddy ha revelado que ha sufrido un ciberataque en el que un pirata informático obtuvo acceso a los detalles de más de un millón de clientes.

 

En una presentación ante la Comisión de Bolsa y Valores (SEC), GoDaddy reveló que había descubierto el 17 de noviembre de 2021 que un "tercero no autorizado" había logrado acceder a su entorno de alojamiento de WordPress administrado.

 

WordPress es un sistema de gestión de contenido de código abierto utilizado por muchos millones de propietarios de sitios web en todo el mundo como backend para sus sitios web y blogs. Para facilitar la administración a los propietarios de sitios, muchas empresas, como GoDaddy, ofrecen una plataforma de alojamiento administrado para manejar copias de seguridad automatizadas, actualizaciones de seguridad automáticas y similares.

 

Como en muchas otras violaciones de datos, una contraseña parece haber sido fundamental para el ataque. Se dice que el pirata informático obtuvo acceso no autorizado a la "base de código heredado" de GoDaddy para los sitios administrados de WordPress que utilizan una contraseña comprometida. No está claro si la contraseña cayó en manos del ciberdelincuente como resultado de un ataque de phishing, porque era débil o había sido reutilizada.

 

GoDaddy tampoco ha indicado si el sistema violado había sido protegido con autenticación de dos factores, que proporciona un nivel de protección más alto que solo una contraseña.

 

Se dice que el ataque comenzó el 6 de septiembre de 2021 y vio al pirata informático robar información relacionada con "hasta 1,2 millones de clientes de WordPress administrados activos e inactivos". Estos usuarios tenían expuesta su dirección de correo electrónico y número de cliente, lo que brinda a los ciberdelincuentes la oportunidad de lanzar ataques de phishing dirigidos.

 

Además, se advirtió a los usuarios activos que sus sFTP y los nombres de usuario y contraseñas de la base de datos estaban expuestos (GoDaddy dice que ha restablecido ambos), y un subconjunto de usuarios también ha expuesto sus claves privadas SSL (HTTPS), lo que podría permitir a un ciberdelincuente hacerse pasar por un sitio web.

 

Además, se expuso la contraseña de administrador de WordPress original utilizada cuando se aprovisionan los sitios. GoDaddy dice que ha restablecido esas contraseñas donde todavía se usaban y está en proceso de emitir nuevos certificados SSL.

 

GoDaddy dice que su investigación sobre la infracción continúa y se está comunicando directamente con los clientes afectados.

 

"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes. Nosotros, el liderazgo y los empleados de GoDaddy, tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos", dijo el director de seguridad de la información de GoDaddy. Viene Demetrius. "Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección".