GoDaddy waarschuwt 28.000 klanten voor datalek via ongeoorloofde ssh-toegang

Webhoster GoDaddy heeft 28.000 klanten gewaarschuwd voor een datalek. Aanvallers wisten via ssh bij verschillende gebruikers binnen te komen. Alleen de hostingaccounts zijn daarbij getroffen, maar niet de GoDaddy-accounts zelf.

GoDaddy waarschuwt de klanten in een brief, schrijft Bleeping Computer. Het bedrijf zegt tegen de site dat het gaat om zo'n 28.000 klanten. Het is niet bekend of daar Nederlandse accounts bij zitten. De aanvallers verkregen de logins voor ssh-toegang tot hostingaccounts. Het is niet duidelijk hoe die informatie precies is verkregen, maar GoDaddy zegt dat het een aangepast bestand en verdachte activiteit van een van zijn eigen servers heeft gevonden.

De webhoster zegt geen aanwijzingen te hebben dat hostingaccounts zijn gemanipuleerd. Uit voorzorg heeft de provider de accounts gereset. GoDaddy zegt dat gebruikers zelf moeten controleren of hun accounts niet zijn gemanipuleerd. Het bedrijf schrijft dat alleen hostingaccounts zijn getroffen waarmee gebruikers op hun website moeten inloggen. GoDaddy-accounts zelf, waarin bijvoorbeeld ook naw-gegevens en rekeninginformatie staan, zijn volgens het bedrijf niet getroffen.

Het incident vond plaats op oktober 2019, schrijft GoDaddy, dat de infectie op 23 april van dit jaar ontdekte. Het geeft getroffen klanten een jaar gratis beveiligingssoftware cadeau. Het gaat om Website Security Deluxe en Express Malware Removal.

Door Tijs Hofmans

Redacteur

06-05-2020 • 11:22

17 Linkedin

Submitter: Muncher

Reacties (17)

Wijzig sortering
Bij Bleepingcomputer heeft de CEO van GoDaddy een aanvulling gegeven:
On April 23, 2020, we identified SSH usernames and passwords had been compromised through an altered SSH file in our hosting environment. This affected approximately 28,000 customers. We immediately reset these usernames and passwords, removed the offending SSH file from our platform, and have no indication the threat actor used our customers’ credentials or modified any customer hosting accounts. To be clear, the threat actor did not have access to customers’ main GoDaddy accounts.
Het antwoord geeft wat meer inzicht in de omvang en wat GoDaddy heeft gedaan. Helaas verklaart het niet waarom GoDaddy pas na bijna een half jaar door heeft dat er op een niveau waarbij duizenden klanten slachtoffer zijn er iets heel erg mis is met de betrouwbaarheid van de SSH configuratie.

Ook verklaart dit niet waarom GoDaddy vervolgens nog eens twee weken nodig heeft om hun klanten in te lichten en wat ze bedoelen met onmiddelijk bij resetten. Niet alle GoDaddy accounts lijken gereset, alleen accounts waar het over gaat. Het wekt de indruk dat ze of onmiddelijk wisten welke klanten getroffen waren (wat het vreemd maakt dat ze vervolgens zo lang doen om klanten in te lichten), of dat het onmiddelijk een erg ruim begrip is.

Bij dat inlichten valt ook nog een en ander op te merken aan de duidelijkheid. GoDaddy gaat er specifiek op in dat er geen bestanden zouden zijn toegevoegd of aangepast. Of bestanden zijn ingezien en verwijderd laten ze dan onterecht buiten beschouwing.

[Reactie gewijzigd door kodak op 6 mei 2020 16:54]

Potentieel wel een heel groot lek. Als men via de SSH toegang kreeg tot verschillende websites en configuraties waar vervolgens juist weer website-gebruikersdata uit gelekt kan worden heb je echt een domino effect. Vrij 'laffe' en late reactie!
Laat nou het zijn dat SSH secure moet zijn in vergelijking met clients die dat niet ondersteunen. In de netwerkgedeelte wordt juist aangeraden om telnet uit te schakelen en SSH in te schakelen. Misschien is het dan ook verstandiger om een public / private key te koppelen en je SSH op een andere port te zetten dan port 22. Zo voorkom je dat je eerder het doelwit wordt, naast het regulier wijzigen van je passwords.

Heb geen idee hoe en waarvoor SSH gebruikt word voor het beheren van een site, maar dat zou dan ook betekenen dat je makkelijk de gehele format kan kopiëren en een malafide site kan aanmaken (als het bijv. een site is waar je producten kan bestellen).
De webhoster zegt geen aanwijzingen te hebben dat hostingaccounts zijn gemanipuleerd. Uit voorzorg heeft de provider de accounts gereset. GoDaddy zegt dat gebruikers zelf moeten controleren of hun accounts niet zijn gemanipuleerd. Het bedrijf schrijft dat alleen hostingaccounts zijn getroffen waarmee gebruikers op hun website moeten inloggen. GoDaddy-accounts zelf, waarin bijvoorbeeld ook naw-gegevens en rekeninginformatie staan, zijn volgens het bedrijf niet getroffen.
Dat er geen aanwijzingen zijn dat de accounts gemanipuleerd zijn, wil nog niet zeggen dat ze dat niet zijn geweest. Wel netjes dat ze de accounts hebben gereset, maar dit had dus wel voorkomen kunnen worden door de SSH toegang te verscherpen en natuurlijk ook te loggen wie wanneer inlogt. Als ik om 12:00 uur inlog in Nederland en iemand anders logt in om 12:10 uur in Azië / Afrika, dan kan je er dus al vanuit gaan dat je account gehacked is.
Iets met het niet op orde hebben van hun security policies?
SSH is veilig, maar je moet het wel goed configureren. Wij gebruiken het ook als primaire toegang tot de systemen, maar alleen icm 256bit keys gekoppeld aan de gebruiker, root login disabled password login disabled.
Ja precies, SSH toegang staat vaak zo goed als gelijk aan Root toegang tot de hosting van een site!
Heb geen idee hoe en waarvoor SSH gebruikt word voor het beheren van een site.
Ik zou het ook niet adviseren maar waarschijnlijk omdat ze gebruik maken van SCP?
SSH kan, op sommige systemen, ook als ouder dienen voor SFTP/FTPS verbindingen.
Kan iemand uitleggen hoe dit (mogelijk) is gebeurd? Ik weet er niet veel van, maar het gebruik van SSH-keys is toch een standaard beveiligingsmethode? Zou dat beteken dat iemand toegang had (al dan niet fysiek) tot de computer van een GoDaddy-medewerker?

Edit, ah meer info in de post van kodak in 'nieuws: GoDaddy waarschuwt 28.000 klanten voor datalek via ongeoorl...

[Reactie gewijzigd door sOid op 6 mei 2020 15:22]

SSH protocol != SSH keys.

Je kan ook prima SSH'en met wachtwoorden.
Verstandig is 't niet, maar het kan wel
Dat weet ik :) Maar als ik als hobbynerd al SSH-keys gebruik, dan kun je er vanuit gaan dat ze bij zo'n groot bedrijf ook méér dan alleen password-authenticatie gebruiken, toch?
Ik vermoed dat ze gebruik maken van het sftp-subsystem van SSH om zo voor hun klanten een veilig alternatief te bieden ten opzichte van FTP. Als klanten zelf hun wachtwoord kunnen kiezen krijg je al snel dit gelazer. Het probleem met keys is natuurlijk dat Jan met de pet dat niet aan de praat krijgt in zijn filezilla.

Volgens mij is het bij de meeste hosting providers nog slechter geregeld doordat ze nog altijd FTP gebruiken én mensen zelf hun wachtwoord laten kiezen.
Dat gebruikt van keys in filezilla kan makkelijk overkomen worden met een manual of een pregenerated config, want unauthorized ssh access tot je platform is altijd ontelbaar veel erger dan een klant die het niet lukt (helaas denken vaak managers daar anders over, welke dan ook niet de verantwoording durven te dragen wanner dit allemaal explodeert)
Okay. Stel dat het inderdaad zo gebeurd is en dat kwaadwillende met credentials van een klant binnen is gekomen, hoe is dan mogelijk dat die vervolgens bij data van 28.000 andere klanten kan? Dan klopt er toch geen zak van de permissies op die server, of zie ik iets over het hoofd?
Apart dat ze over 'individual' spreken, verderop ook 'actor', ex-werknemer ofzo? Beetje lek komt meestal bij veel meer mensen terecht om misbruik in te maken.

Maar lijkt erop dat dit de accounts waren die ze vorig jaar ook gebruikte voor die hele scam zooi? Nep sites met die celebrities die 1 of ander superproduct aanbieden, dat het totaal niet ging om de inhoud van de site in kwestie, maar puur een plek om die netzooi neer te gooien.
Ik neem aan dat het hier gaat om accounts met een password, en dat is een enorm risico. Eerste iptables rule die bij mij op een server gaat is het aantal nieuwe SSH connecties limiteren op 5 per minuut. En alleen private/public key toegang toestaan natuurlijk.

Ik block enorm veel op adressen die daar overheen gaan.
Je bedoelt dat je alleen specifieke IP adressen toelaat, ipv te blokkeren wat jou niet aanstaat? :o
Godaddy heeft 2 takken. Eentje met nog PHP 5.6 en eentje met 7.x. De verouderde omgeving zou eens goed geraakt kunnen zijn. Echt ik vindt de hosting van Godaddy verschrikkelijk. Het is traag, het werkt niet lekker en qua support krijg je de random vraagbaak terwijl daar nooit een zinnig antwoord op komt.

Zou best kunnen dat ze een lek in de verouderde 5.6 omgeving hadden, en die misbruikt is.

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee