Un incident de sécurité a eu lieu chez GODADDY, une société américaine spécialisée dans la gestion de noms de domaine et dans l’hébergement Web. Les données de 1,2 million de clients ayant souscrit l’offre hébergée WordPress ont été dérobées. Les données contiennent notamment :

  • l’adresse e-mail des clients ;
  • les identifiants – nom d’utilisateur et mot de passe – des bases de données et des services FTP des clients ;
  • les clés privées des certificats TLS des sites Internet des clients.

La société a indiqué dans un communiqué qu’un mot de passe compromis serait à l’origine de cet incident.

Les internautes qui possédaient une offre hébergée WordPress chez GoDaddy entre septembre et novembre 2021 doivent considérer les données contenues sur leurs sites comme compromises. Les certificats TLS ayant été accessibles, toutes les communications en provenance de ces sites ou à destination de ces sites doivent également être considérées comme compromises.

Communiqué de GoDaddy du 22 novembre 2021 :

« Le 17 novembre 2021, nous avons découvert un accès non autorisé d’un tiers à notre environnement d’hébergement Managed WordPress. Voici le contexte de ce qui s’est passé et les mesures que nous avons prises, et que nous prenons, en réponse :

Nous avons identifié une activité suspecte dans notre environnement d’hébergement Managed WordPress et avons immédiatement commencé une enquête avec l’aide d’une société d’informatique légale et avons contacté les forces de l’ordre. En utilisant un mot de passe compromis, un tiers non autorisé a accédé au système de provisionnement dans notre base de code existante pour Managed WordPress.

Après avoir identifié cet incident, nous avons immédiatement bloqué le tiers non autorisé de notre système. Notre enquête est en cours, mais nous avons déterminé que, à partir du 6 septembre 2021, le tiers non autorisé a utilisé la vulnérabilité pour accéder aux informations clients suivantes :
- Jusqu’à 1,2 million de clients Managed WordPress actifs et inactifs ont vu leur adresse électronique et leur numéro de client exposés. L’exposition des adresses e-mail présente un risque d’attaques de phishing.
- Le mot de passe d’origine de l’administrateur WordPress, défini au moment de l’approvisionnement, a été exposé. Si ces informations d’identification étaient encore utilisées, nous avons réinitialisé ces mots de passe.
- Pour les clients actifs, les noms d’utilisateur et mots de passe sFTP et de la base de données ont été exposés. Nous avons réinitialisé les deux mots de passe.

Pour un sous-ensemble de clients actifs, la clé privée SSL a été exposée. Nous sommes en train d’émettre et d’installer de nouveaux certificats pour ces clients.

Notre enquête est en cours et nous contactons directement tous les clients concernés avec des détails spécifiques. Les clients peuvent également nous contacter via notre centre d’aide (https://www.godaddy.com/help) qui comprend des numéros de téléphone par pays.

Nous sommes sincèrement désolés de cet incident et de l’inquiétude qu’il suscite chez nos clients. Nous, dirigeants et employés de GoDaddy, prenons très au sérieux notre responsabilité de protéger les données de nos clients et ne voulons jamais les laisser tomber. Nous tirerons les leçons de cet incident et nous prenons déjà des mesures pour renforcer notre système d’approvisionnement avec des couches de protection supplémentaires. »