GoDaddy waarschuwt 28.000 klanten voor datalek via ongeoorloofde ssh-toegang

Webhoster GoDaddy heeft 28.000 klanten gewaarschuwd voor een datalek. Aanvallers wisten via ssh bij verschillende gebruikers binnen te komen. Alleen de hostingaccounts zijn daarbij getroffen, maar niet de GoDaddy-accounts zelf.

GoDaddy waarschuwt de klanten in een brief, schrijft Bleeping Computer. Het bedrijf zegt tegen de site dat het gaat om zo'n 28.000 klanten. Het is niet bekend of daar Nederlandse accounts bij zitten. De aanvallers verkregen de logins voor ssh-toegang tot hostingaccounts. Het is niet duidelijk hoe die informatie precies is verkregen, maar GoDaddy zegt dat het een aangepast bestand en verdachte activiteit van een van zijn eigen servers heeft gevonden.

De webhoster zegt geen aanwijzingen te hebben dat hostingaccounts zijn gemanipuleerd. Uit voorzorg heeft de provider de accounts gereset. GoDaddy zegt dat gebruikers zelf moeten controleren of hun accounts niet zijn gemanipuleerd. Het bedrijf schrijft dat alleen hostingaccounts zijn getroffen waarmee gebruikers op hun website moeten inloggen. GoDaddy-accounts zelf, waarin bijvoorbeeld ook naw-gegevens en rekeninginformatie staan, zijn volgens het bedrijf niet getroffen.

Het incident vond plaats op oktober 2019, schrijft GoDaddy, dat de infectie op 23 april van dit jaar ontdekte. Het geeft getroffen klanten een jaar gratis beveiligingssoftware cadeau. Het gaat om Website Security Deluxe en Express Malware Removal.

Reacties (17)

kodak

Datalek
Beveiliging en antivirus

6 mei 2020 14:50

Bij Bleepingcomputer heeft de CEO van GoDaddy een aanvulling gegeven:

On April 23, 2020, we identified SSH usernames and passwords had been compromised through an altered SSH file in our hosting environment. This affected approximately 28,000 customers. We immediately reset these usernames and passwords, removed the offending SSH file from our platform, and have no indication the threat actor used our customers’ credentials or modified any customer hosting accounts. To be clear, the threat actor did not have access to customers’ main GoDaddy accounts.

Het antwoord geeft wat meer inzicht in de omvang en wat GoDaddy heeft gedaan. Helaas verklaart het niet waarom GoDaddy pas na bijna een half jaar door heeft dat er op een niveau waarbij duizenden klanten slachtoffer zijn er iets heel erg mis is met de betrouwbaarheid van de SSH configuratie.

Ook verklaart dit niet waarom GoDaddy vervolgens nog eens twee weken nodig heeft om hun klanten in te lichten en wat ze bedoelen met onmiddelijk bij resetten. Niet alle GoDaddy accounts lijken gereset, alleen accounts waar het over gaat. Het wekt de indruk dat ze of onmiddelijk wisten welke klanten getroffen waren (wat het vreemd maakt dat ze vervolgens zo lang doen om klanten in te lichten), of dat het onmiddelijk een erg ruim begrip is.

Bij dat inlichten valt ook nog een en ander op te merken aan de duidelijkheid. GoDaddy gaat er specifiek op in dat er geen bestanden zouden zijn toegevoegd of aangepast. Of bestanden zijn ingezien en verwijderd laten ze dan onterecht buiten beschouwing.

[Reactie gewijzigd door kodak op 22 juli 2024 21:00]

Giant87 6 mei 2020 11:34

Potentieel wel een heel groot lek. Als men via de SSH toegang kreeg tot verschillende websites en configuraties waar vervolgens juist weer website-gebruikersdata uit gelekt kan worden heb je echt een domino effect. Vrij 'laffe' en late reactie!

gamezfreak @Giant87 • 6 mei 2020 11:50

Laat nou het zijn dat SSH secure moet zijn in vergelijking met clients die dat niet ondersteunen. In de netwerkgedeelte wordt juist aangeraden om telnet uit te schakelen en SSH in te schakelen. Misschien is het dan ook verstandiger om een public / private key te koppelen en je SSH op een andere port te zetten dan port 22. Zo voorkom je dat je eerder het doelwit wordt, naast het regulier wijzigen van je passwords.

Heb geen idee hoe en waarvoor SSH gebruikt word voor het beheren van een site, maar dat zou dan ook betekenen dat je makkelijk de gehele format kan kopiëren en een malafide site kan aanmaken (als het bijv. een site is waar je producten kan bestellen).

De webhoster zegt geen aanwijzingen te hebben dat hostingaccounts zijn gemanipuleerd. Uit voorzorg heeft de provider de accounts gereset. GoDaddy zegt dat gebruikers zelf moeten controleren of hun accounts niet zijn gemanipuleerd. Het bedrijf schrijft dat alleen hostingaccounts zijn getroffen waarmee gebruikers op hun website moeten inloggen. GoDaddy-accounts zelf, waarin bijvoorbeeld ook naw-gegevens en rekeninginformatie staan, zijn volgens het bedrijf niet getroffen.

Dat er geen aanwijzingen zijn dat de accounts gemanipuleerd zijn, wil nog niet zeggen dat ze dat niet zijn geweest. Wel netjes dat ze de accounts hebben gereset, maar dit had dus wel voorkomen kunnen worden door de SSH toegang te verscherpen en natuurlijk ook te loggen wie wanneer inlogt. Als ik om 12:00 uur inlog in Nederland en iemand anders logt in om 12:10 uur in Azië / Afrika, dan kan je er dus al vanuit gaan dat je account gehacked is.
Iets met het niet op orde hebben van hun security policies?

Zebby @gamezfreak • 6 mei 2020 12:27

SSH is veilig, maar je moet het wel goed configureren. Wij gebruiken het ook als primaire toegang tot de systemen, maar alleen icm 256bit keys gekoppeld aan de gebruiker, root login disabled password login disabled.

Giant87 @gamezfreak • 6 mei 2020 11:53

Ja precies, SSH toegang staat vaak zo goed als gelijk aan Root toegang tot de hosting van een site!

PizZa_CalZone @gamezfreak • 6 mei 2020 12:52

Heb geen idee hoe en waarvoor SSH gebruikt word voor het beheren van een site.

Ik zou het ook niet adviseren maar waarschijnlijk omdat ze gebruik maken van SCP?

sfranken @PizZa_CalZone • 6 mei 2020 14:34

SSH kan, op sommige systemen, ook als ouder dienen voor SFTP/FTPS verbindingen.

sOid 6 mei 2020 11:43

Kan iemand uitleggen hoe dit (mogelijk) is gebeurd? Ik weet er niet veel van, maar het gebruik van SSH-keys is toch een standaard beveiligingsmethode? Zou dat beteken dat iemand toegang had (al dan niet fysiek) tot de computer van een GoDaddy-medewerker?

Edit, ah meer info in de post van kodak in 'nieuws: GoDaddy waarschuwt 28.000 klanten voor datalek via ongeoorl...

[Reactie gewijzigd door sOid op 22 juli 2024 21:00]

Hieronymuski @sOid • 6 mei 2020 12:32

SSH protocol != SSH keys.

Je kan ook prima SSH'en met wachtwoorden.
Verstandig is 't niet, maar het kan wel

sOid @Hieronymuski • 6 mei 2020 12:45

Dat weet ik

Maar als ik als hobbynerd al SSH-keys gebruik, dan kun je er vanuit gaan dat ze bij zo'n groot bedrijf ook méér dan alleen password-authenticatie gebruiken, toch?

delphium

@sOid • 6 mei 2020 14:31

Ik vermoed dat ze gebruik maken van het sftp-subsystem van SSH om zo voor hun klanten een veilig alternatief te bieden ten opzichte van FTP. Als klanten zelf hun wachtwoord kunnen kiezen krijg je al snel dit gelazer. Het probleem met keys is natuurlijk dat Jan met de pet dat niet aan de praat krijgt in zijn filezilla.

Volgens mij is het bij de meeste hosting providers nog slechter geregeld doordat ze nog altijd FTP gebruiken én mensen zelf hun wachtwoord laten kiezen.

mg794613 @delphium • 6 mei 2020 14:58

Dat gebruikt van keys in filezilla kan makkelijk overkomen worden met een manual of een pregenerated config, want unauthorized ssh access tot je platform is altijd ontelbaar veel erger dan een klant die het niet lukt (helaas denken vaak managers daar anders over, welke dan ook niet de verantwoording durven te dragen wanner dit allemaal explodeert)

sOid @delphium • 6 mei 2020 15:20

Okay. Stel dat het inderdaad zo gebeurd is en dat kwaadwillende met credentials van een klant binnen is gekomen, hoe is dan mogelijk dat die vervolgens bij data van 28.000 andere klanten kan? Dan klopt er toch geen zak van de permissies op die server, of zie ik iets over het hoofd?

SinergyX 6 mei 2020 11:43

Apart dat ze over 'individual' spreken, verderop ook 'actor', ex-werknemer ofzo? Beetje lek komt meestal bij veel meer mensen terecht om misbruik in te maken.

Maar lijkt erop dat dit de accounts waren die ze vorig jaar ook gebruikte voor die hele scam zooi? Nep sites met die celebrities die 1 of ander superproduct aanbieden, dat het totaal niet ging om de inhoud van de site in kwestie, maar puur een plek om die netzooi neer te gooien.

casberrypi 6 mei 2020 12:02

Ik neem aan dat het hier gaat om accounts met een password, en dat is een enorm risico. Eerste iptables rule die bij mij op een server gaat is het aantal nieuwe SSH connecties limiteren op 5 per minuut. En alleen private/public key toegang toestaan natuurlijk.

Ik block enorm veel op adressen die daar overheen gaan.

Hieronymuski @casberrypi • 6 mei 2020 12:34

Je bedoelt dat je alleen specifieke IP adressen toelaat, ipv te blokkeren wat jou niet aanstaat?

Anoniem: 58485 6 mei 2020 12:37

Godaddy heeft 2 takken. Eentje met nog PHP 5.6 en eentje met 7.x. De verouderde omgeving zou eens goed geraakt kunnen zijn. Echt ik vindt de hosting van Godaddy verschrikkelijk. Het is traag, het werkt niet lekker en qua support krijg je de random vraagbaak terwijl daar nooit een zinnig antwoord op komt.

Zou best kunnen dat ze een lek in de verouderde 5.6 omgeving hadden, en die misbruikt is.

Op dit item kan niet meer gereageerd worden.

GoDaddy waarschuwt 28.000 klanten voor datalek via ongeoorloofde ssh-toegang

Lees meer

Reacties (17)

Sorteer op:

Weergave: