Las últimas revelaciones sobre la filtración de datos de GoDaddy podrían asestar un duro golpe a la confianza de los usuarios, según advierten expertos en seguridad.
La empresa estadounidense reveló la semana pasada haber sido víctima de un incidente de seguridad “de varios años” en el que hackers robaron el código fuente e instalaron malware que redirigía los sitios alojados a páginas maliciosas.
En un informe presentado a la SEC el 16 de febrero, Godaddy confirmó que el mismo o los mismos autores de amenazas habían provocado varios incidentes de seguridad a lo largo de casi tres años.
GoDaddy dijo que, en diciembre, una investigación inicial sobre las quejas de los clientes de que sus sitios web estaban siendo “redirigidos intermitentemente” descubrió que un tercero no autorizado había obtenido acceso a los servidores en el entorno de alojamiento compartido cPanel de la compañía.
Se descubrió que los atacantes habían instalado malware, causando la redirección de los sitios web de los clientes.
“Tenemos pruebas, y las fuerzas de seguridad lo han confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de alojamiento como GoDaddy”, dijo la compañía en un comunicado la semana pasada.
“Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas”.
Jonathan Wood, CEO de C2, declaró a la publicación británica IT Pro que el amplio alcance del incidente de GoDaddy debería preocupar seriamente a los usuarios del servicio de alojamiento. “Una de las posibilidades más preocupantes es que tuvieran acceso al servidor de nombres de dominio (DNS). Esto les permitiría crear una etiqueta para cualquier persona que visite un sitio web. Desde sitios web de infidelidades hasta pornográficos, permitiría al atacante identificar la dirección IP de cada visitante. Otra posibilidad preocupante es que pudieran haber estado redirigiendo correos electrónicos desde buzones alojados en GoDaddy”, dijo.
La investigación de diciembre sigue a una serie de importantes incidentes de seguridad en GoDaddy en los últimos años. En marzo de 2020, credenciales de inicio de sesión pertenecientes a cuentas de empleados y alrededor de 28.000 clientes de GoDaddy quedaron expuestas en un incidente de seguridad. Aunque estas credenciales de inicio de sesión no proporcionaban acceso a las cuentas principales de GoDaddy de los clientes, la brecha desató preocupaciones sobre las prácticas de seguridad de la empresa.
GoDaddy fue duramente criticada por su gestión del incidente de seguridad de 2021, en medio de acusaciones de falta de transparencia y franqueza con los clientes.
La brecha de seguridad se hizo pública después de que los periodistas descubrieran detalles contenidos en archivos de la SEC. Sólo después de que los medios de comunicación se hicieran eco de la brecha, la empresa respondió y emitió un comunicado a los clientes.
Will Richmond-Coggan, especialista en litigios por violación de datos del bufete de abogados nacional Freeths, declaró a IT Pro que las revelaciones de GoDaddy tendrán graves implicaciones a largo plazo para la empresa. “A pocos clientes les gustará seguir leyendo sobre la brecha sin tener claro lo que significa para ellos. El impacto en la empresa será especialmente grave porque parece que dos violaciones notificadas anteriormente eran aspectos de un mismo ataque concertado. Esto podría sugerir que se perdieron oportunidades para cerrar vulnerabilidades o erradicar el malware instalado en una fase más temprana, lo que inevitablemente habría limitado la naturaleza y el alcance del daño para los clientes”, afirmó el experto.
