GoDaddy, l'une des plus grandes entreprises d'hébergement web au monde, a révélé qu'elle avait subi une violation de sécurité majeure dans laquelle des hackers ont eu accès à son réseau pendant plusieurs années. Les attaquants ont pu voler le code source de l'entreprise et installer des logiciels malveillants sur ses serveurs, ce qui représentait une menace significative pour ses plus de 20 millions de clients dans le monde.
La violation a été révélée en décembre 2022, après que plusieurs clients de GoDaddy ont signalé que leurs sites étaient utilisés pour rediriger vers des domaines aléatoires. L'enquête interne de l'entreprise a révélé que les attaquants avaient eu accès à son environnement d'hébergement partagé cPanel, où ils avaient pu infiltrer ses systèmes et rester indétectés pendant longtemps. Les hackers avaient pu opérer sous le radar, grâce à leurs techniques sophistiquées et à leur vaste connaissance des systèmes et processus de GoDaddy.
Selon GoDaddy, cet incident fait partie d'une campagne plus large de plusieurs années menée par un groupe d'acteurs de menace hautement sophistiqués qui a ciblé d'autres entreprises d'hébergement dans le monde entier. L'entreprise croit que des violations précédentes en 2021 et 2020 sont également liées à cette même campagne. Lors de l'incident de 2021, des hackers ont violé l'environnement d'hébergement WordPress de GoDaddy en utilisant un mot de passe compromis, entraînant une violation de données qui a affecté 1,2 million de clients Managed WordPress. Les hackers ont pu accéder aux adresses e-mail de tous les clients concernés, ainsi qu'à leurs mots de passe Admin WordPress, leurs identifiants sFTP et de base de données, et aux clés privées SSL d'un sous-ensemble de clients actifs.
Lors de la violation de 2020, GoDaddy a informé 28 000 clients qu'un attaquant avait utilisé leurs identifiants de compte d'hébergement web pour se connecter à leur compte d'hébergement via SSH en octobre de cette année-là. Cette violation n'a pas entraîné de vol de données, mais elle a mis en évidence les risques posés par des mots de passe faibles et l'importance de bonnes pratiques de gestion des mots de passe.
À la suite de la violation de 2022, GoDaddy travaille avec des experts en cybersécurité externes et des agences d'application de la loi dans le monde entier pour enquêter sur la cause profonde de l'attaque. L'entreprise a assuré à ses clients qu'elle prenait toutes les mesures nécessaires pour sécuriser ses systèmes et prévenir de futures violations.
Il est clair que cette attaque a été menée par un groupe hautement sophistiqué et organisé qui cible les services d'hébergement comme GoDaddy depuis des années. L'objectif apparent des attaquants est d'infecter des sites web et des serveurs avec des logiciels malveillants pour des campagnes de phishing, la distribution de logiciels malveillants et d'autres activités malveillantes. Cette nouvelle souligne la menace croissante des cyberattaques et l'importance de mesures de cybersécurité robustes pour toutes les entreprises, en particulier celles qui traitent des données sensibles des clients.
