Über eine Million WordPress-Websites angegriffen

GoDaddy ist der weltweit führende Webhosting-Anbieter mit zehn Millionen mehr Websites als die Konkurrenz. Das Unternehmen musste jetzt einräumen,  dass die Daten von 1,2 Millionen seiner WordPress-Kunden offengelegt worden sind.

In einem Bericht an die Securities and Exchange Commission (SEC) erklärte der Chief Information Security Officer (CISO) von GoDaddy, Demetrius Comes, dass das Unternehmen einen unbefugten Zugriff auf seine verwalteten WordPress-Server entdeckt habe. Um genau zu sein, haben Hacker seit dem 6. September 2021 Informationen über 1,2 Millionen aktive und inaktive Managed-WordPress-Kunden geöffnet.

Laut WordPress handelt es sich bei diesem Managed Service um ein rationalisiertes, optimiertes Hosting für die Erstellung und Verwaltung von WordPress-Sites. GoDaddy kümmert sich um grundlegende administrative Hosting-Aufgaben, wie die Installation von WordPress, automatische tägliche Backups, WordPress-Kern-Updates und Caching auf Server-Ebene. Die Tarife für WordPress Hosting beginnen bei GoDaddy bei 4,99 Euro pro Monat.

Sowohl die E-Mail-Adressen als auch die Kundennummern der Kunden wurden offengelegt. GoDaddy warnt die Benutzer, dass diese Offenlegung ein erhöhtes Risiko für Phishing-Angriffe darstellt. Der Webhoster teilte auch mit, dass das ursprüngliche WordPress-Administrator-Passwort, das bei der Erstinstallation von WordPress erstellt wurde, ebenfalls offengelegt wurde. Wenn Sie also dieses Passwort nie geändert haben, hatten Hacker monatelang Zugang zu Ihrer Website.

Darüber hinaus wurden bei aktiven Kunden die Benutzernamen und Kennwörter für sFTP und Datenbanken offengelegt. GoDaddy hat diese beiden Passwörter zurückgesetzt. Schließlich wurde bei einigen aktiven Kunden der private SSL-Schlüssel (Secure-Socket Layer) offengelegt. GoDaddy stellt derzeit neue Zertifikate für diese Kunden aus und installiert sie.

WordFence, ein WordPress-Sicherheitsunternehmen, schreibt in seinem Bericht: „Es scheint, dass GoDaddy sFTP-Anmeldedaten entweder im Klartext oder in einem Format speicherte, das in Klartext umgewandelt werden kann. Dies geschah anstelle der Verwendung eines gesalzenen Hashes oder eines öffentlichen Schlüssels, die beide als bewährte Verfahren für sFTP gelten. Dies ermöglichte einem Angreifer einen direkten Zugriff auf Passwortdaten, ohne dass diese geknackt werden mussten.“

WordFence ergänzte in einem weiteren Bericht am 23. November: „Wir haben von GoDaddy die Bestätigung erhalten, dass mehrere Marken, die GoDaddy Managed WordPress weiterverkaufen, betroffen sind.

Laut Dan Rice, VP für Unternehmenskommunikation bei GoDaddy, „Die GoDaddy-Marken, die GoDaddy Managed WordPress weiterverkaufen, sind 123Reg, Domain Factory, Heart Internet, Host Europe, Media Temple und tsoHost. Eine kleine Anzahl aktiver und inaktiver Managed WordPress-Benutzer bei diesen Marken war von dem Sicherheitsvorfall betroffen. Andere Marken sind nicht betroffen. Diese Marken haben ihre jeweiligen Kunden bereits mit spezifischen Details und empfohlenen Maßnahmen kontaktiert.“

tsoHost, 123Reg, Domain Factory, Heart Internet und Host Europe wurden 2017 von GoDaddy als Teil der Host Europe Group übernommen, während Media Temple 2013 von GoDaddy gekauft wurde.

GoDaddy hat angekündigt, dass die Untersuchung noch andauert. Das Unternehmen setzt sich mit allen betroffenen Kunden direkt in Verbindung, um ihnen weitere Einzelheiten mitzuteilen. Die Kunden können GoDaddy auch über sein Help Center kontaktieren. Diese Seite enthält Telefonnummern für Benutzer in den betroffenen Ländern.