El mayor proveedor global de hosting web ha estado hackeado durante años por el mismo atacante: miles de webs fueron secuestradas

Godaddy
5 comentarios Facebook Twitter Flipboard E-mail

GoDaddy es la mayor empresa proveedora de alojamiento web del mundo, prestando servicio a casi 21 millones de clientes. Hace cuatro días, esta compañía presentaba su informe anual preceptivo ante la SEC (Comisión de Bolsa y Valores de los EE.UU.), en el que  están obligados a detallar incidentes graves de ciberseguridad...

...y revelaba con ello un hecho preocupante: su seguridad lleva siendo vulnerada desde hace tres años, lo que ha permitido en este tiempo que un mismo intruso aún no identificado fuera capaz de robar credenciales de inicio de sesión, primero, y código fuente de la compañía, más tarde.

El incidente de los robos de datos de login, que afectó tanto a empleados de la compañía como a 28.000 clientes, ya fue notificado en su momento (2020) por la compañía a los usuarios afectados.

En 2021, el intruso aparentemente obtuvo acceso al código fuente del servicio 'Managed WordPress' de GoDaddy, que agiliza la creación y administración de sitios WordPress. A continuación, hizo uso de esta vulnerabilidad para acceder a cuentas de administrador de WordPress, cuentas FTP y direcciones de e-mail de hasta 1,2 millones de clientes actuales e inactivos de 'Managed WordPress'.

Últimas novedades

Posteriormente, en una fecha tan reciente como el pasado mes de diciembre, el intruso también instaló malware en la plataforma cPanel que GoDaddy ofrece a sus clientes para gestionar sus sitios web. Dicho malware ha estado redirigiendo de manera intermitente esas webs a sitios sites maliciosos "aleatorios".

Ahora, en el informe presentado a la SEC, GoDaddy afirma lo siguiente:

"Creemos que estos incidentes forman parte de una campaña ejecutada durante varios años por parte de un sofisticado grupo de actores de amenazas . [...] Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas".

Más allá de 2020

Aunque el informe de GoDaddy se limita a relacionar entre sí los hechos ya descritos, que tuvieron lugar entre 2020 y finales de 2022, la compañía ya sufrió también en 2019 un par de incidentes similares:

  • Una vulnerabilidad en la configuración DNS de GoDaddy (conocida desde tres años antes) permitió a unos ciberatacantes secuestrar docenas de sitios web propiedad de compañías como Mozilla, Expedia o Yelp, usándolos para publicar una nota de rescate que amenazaba con la realización de atentados.
  • Un investigador de ciberseguridad descubrió una campaña que había recurrido a cientos de cuentas comprometidas de clientes de GoDaddy para crear hasta 15.000 sitios web con spam de 'productos milagro'.

Vía | Ars Technica

Imagen | Marco Verch

Comentarios cerrados
Inicio