Webhoster GoDaddy meldt diefstal van klantgegevens en adminwachtwoorden

De Amerikaanse domeinregistrar en webhoster GoDaddy heeft een datalek gemeld nadat een 'ongeautoriseerde derde' toegang heeft gekregen tot zijn Managed Wordpress-hostingomgeving. Daarbij zijn mailadressen, klantnummers, adminwachtwoorden en SSL-privésleutels buitgemaakt.

Volgens GoDaddy gaat het om gegevens van in het ergste geval 1,2 miljoen gebruikers. GoDaddy kwam er op 17 november achter dat een 'ongeautoriseerde derde' toegang had tot de Managed Wordpress-hostingomgeving van het bedrijf. Het bedrijf verwacht dat deze persoon sinds 6 september binnen was en als doel had om toegang te krijgen tot klantgegevens.

Het gaat volgens GoDaddy om de mailadressen en klantnummers van 1,2 miljoen actieve en inactieve Managed Wordpress-klanten. Ook zijn de oorspronkelijke Wordpress-adminwachtwoorden gelekt die GoDaddy aan klanten heeft verstrekt. Van actieve gebruikers zijn de sFTP- en database-gebruikersnamen en -wachtwoorden gelekt en van een deel van de gebruikers is ook de SSL-privésleutel gelekt. Alle buitgemaakte wachtwoorden heeft GoDaddy gereset, voor zover deze nog in gebruik waren. Klanten van wie de SSL-sleutel gestolen is, krijgen een nieuw certificaat, maar daar werkt GoDaddy nog aan.

Het is nog niet bekend wie er achter de hack zit en GoDaddy is dit nog aan het onderzoeken. GoDaddy geeft nog geen details over onder meer waarom de wachtwoorden zichtbaar waren in de hostingomgeving en of deze versleuteld waren. In 2020 waarschuwde GoDaddy 28.000 klanten voor een datalek waarbij mogelijk gegevens buit gemaakt zouden zijn.

Door Stephan Vegelien

Redacteur

22-11-2021 • 16:42

36 Linkedin

Submitter: GertMenkel

Reacties (36)

Wijzig sortering
Achtergrondartikel met wat meer informatie:
https://www.wordfence.com...each-plaintext-passwords/

Ze gaan hier ook in op wat ze eventueel kunnen met die informatie, en wat je nu het best kunt doen als je een (actieve) dienst hebt/had.
GoDaddy geeft nog geen details over onder meer waarom de wachtwoorden zichtbaar waren in de hostingomgeving en of deze versleuteld waren.

Is er een specifieke reden waarom niet? Dit is toch naar mijn mening het belangrijkste communicatie?
Belangrijkste is of jouw wachtwoord gelekt is, niet waarom het slecht beveiligd was. Dat is met name interessant voor buitenstaanders en ICT professionals (en de politie).
Dat de wachtwoorden buitgemaakt zijn is juist waarom er een communicatie is. Wat ik mij afvraag is waarom er niet aangegeven wordt of de wachtwoorden wel- of niet hashed waren.
Dat maakt in dit geval niet uit.

De originele admin wachtwoorden van wordpress zijn achterhaald, dus die initieel beschikbaar waren.
Niet wachtwoorden als je later het originele wachtwoord veranderd hebt.

sftp en database wachtwoorden zijn ook zichtbaar geworden, dus deze waren niet gehashed bij de presentatie en wellicht beschikbaar als referentie. Vermoedelijk zijn deze dus initieel aangemaakt en zichtbaar, zonder dat je deze kan aanpassen naar een wachtwoord van eigen keuze.

De gegevens van de 1,2 miljoen gebruikers betreft de emailadressen (en klantnummers).

[Reactie gewijzigd door gorgi_19 op 22 november 2021 17:00]

Omdat dat niet uitmaakt. Ga er van uit dat als er een lek van wachtwoorden is dat je wachtwoord niet veilig is. Zelfs als wachtwoorden goed gehashed zijn is het aan te raden deze alsnog aan te passen. En sowieso wordt het hergebruik van 1 wachtwoord op meerdere sites ook al heel wat jaren afgeraden.
Dat het niet voor iedereen belangrijk is maakt het nog niet onbelangrijk. Ik hoor graag of er nog steeds md5 of sha1 gebruikt is, dan weet je gelijk dat de dienst veel meer steken laat vallen dan alleen gehackt zijn. Daarnaast geeft het mij de mogelijkheid om zelf in te schatten wat voor prioriteit het vervangen van het wachtwoord heeft. Bcrypt kraken voor 1 miljoen gebruikers gaat hun toch wat langer duren dan voorgenoemde md5 bijvorobeeld.
Ik hoor graag of er nog steeds md5 of sha1 gebruikt is,
Dat is fijn, maar momenteel is men daar in "crisis"-mode, en wordt de belangrijke informatie gecommuniceerd, niet zaken die jij wel fijn vind om te horen. Ik vermoed daarnaast dat men eerst zekerheid wil hebben over wat er precies wel en niet gebeurd is voor men uitspraken gaat doen over eventuele versleuteling.
Crisis mode, iets waarin je je klanten dus gerust moet stellen dat alles wel met een sterk hashing algoritme beveiligd is, en dat doen ze dus niet. Communiceren of je data wel of niet versleuteld is met een sterk algoritme kost zo goed als geen tijd, zeker niet als ze al het diefstal melden.
Communiceren of je data wel of niet versleuteld is met een sterk algoritme kost zo goed als geen tijd,
Niet onderbouwde zaken communiceren kost inderdaad weinig tijd, maar juist met dit soort uitspraken wil je zeker zijn van je zaak, en niet later terug moeten komen.
En de boodschap is nu al duidelijk genoeg, de wachtwoorden zijn gelekt, dus beschouw ze als gelekt.
Zeker zijn van je zaak? Ik mag toch hopen dat ze zelf heel goed weten of en hoe wachtwoorden gehasht zijn.
Dat ze dat niet communiceren zet ze enkel in een kwaad dag licht.
Ik ga er maar vanuit dat ze de zaken niet goed op orde hebben. Anders communiceer je wel zoiets.
De enige juiste reactie als klant is om alles als compromised te beschouwen en daar intern mee aan de slag te gaan.
Dan kan je daarna onder het genot van een kopje koffie een gesprek over de rest voeren.
Maar wat ga jij anders doen als je die informatie hebt? Niets. Het is puur je eigen nieuwsgierigheid die je wenst ingewilligd te zien.

Zelfs als er sterke encryptie is gebruikt voor het opslaan, wie zegt dat de hackers geen andere aanpassingen hebben gemaakt waardoor ze alsnog het wachtwoord konder onderscheppen? Je kan nergens van uit gaan.
Dat maakt wel degelijk uit. Als ze niet gehasht zijn, weet je dat het sowieso al te laat is. Als ze goed gehasht zijn met zout en peper, heb je een kans dat even duurt voordat ze allemaal ontcijferd zijn.
Als je niet weet waar je als klant bij een dienstverlener op kunt rekenen dan kan je ook niet stellen dat het alleen belangrijk is of je wachtwoord gelekt is. Daar kun je dan eigenlijk maar beter vanuit gaan, aangezien er geen duidelijke passende beveiliging van je persoonlijke gegevens is. Weer niet, want dit is niet de eerste keer.
Het is dus wel degelijk heel belangrijk zo snel mogelijk te weten wat er aan de hand is met de beveiliging van je gegevens.
Dit is wel echt heeeeeeeeeel erg kwalijk. Er heeft dus iemand ruim een week in 1 miljoen omgevingen kunnen grasduinen en je moet er dus vanuit gaan dat dit ook gebeurt is. Dat maakt dat dit niet alleen impact heeft op 1 miljoen GoDaddy klanten, maar 1 miljoen maal het gemiddelde aantal gebruikers van door GoDaddy gehoste sites.

Hiermee moet dus volgens mij ook ALLE Nederlandse klanten van GoDaddy een melding doen bij AP.
Hiermee moet dus volgens mij ook ALLE Nederlandse klanten van GoDaddy een melding doen bij AP.
Want? Dan moet je eerst een reden hebben.. als GoDaddy zich aan de GDPR houdt, en dit netjes gemeld heeft bij de juiste instanties dan zal het AP voorlopig nog helemaal niks doen met klachten.
ruim een week in 1 miljoen omgevingen kunnen grasduinen
6 september (2021 ?) -> 17 november 2021, dus meer dan 2 maanden kunnen grasduinen. Alle tijd om alle admin gegevens te downloaden, scripts te schrijven om het te scrapen, enzovoorts. Dus toegang tot in ieder geval die installaties, maar misschien (als webmasters wachtwoorden hergebruiken, wat best zo zal zijn) nog wel tot veel meer.

Hier heb je een goed voorbeeld van het echte nadeel van web interfaces zoals cpanel, directadmin, en de reden waarom je niet overal maar een gebruikersvriendelijke toegang voor webmasters moet inzetten. Echte webmasters doen het met de prompt 8-)

[Reactie gewijzigd door Booz op 22 november 2021 17:43]

Waarom zou het moeilijker zijn via commando's?
Dan zit er geen interface tussen. Als je bijvoorbeeld gewoon dns wijzigingen in bind9 doet, heb je geen directadmin of cpanel nodig, en hoef je dat dus ook niet open te zetten. Ieder "raampje" op je server is weer een kans erbij op een hack. Vaak wordt ook vergeten al die raampjes goed te beveiligen, bijvoorbeeld door updaten van cpanel en directadmin. En als je geen raampje openzet, hoef je het ook niet te beveiligen....
Ik schrok even toen ik het artikel las, heb ook een Wordpress site draaien bij GoDaddy. Na wat snel uitzoek werk blijkt de 'Managed Wordpress' een apart product, en val dan gelukkig ook niet onder de hack. Ik heb gewoon webspace gehuurd en er zelf Wordpress opgezet, kom ik mooi mee weg. :D
Hopelijk gaat het enkel om klanten die "Managed Wordpress" hadden. Ik heb daar 10 jaar geleden eens shared windows hosting gehad en nadien niet meer omgekeken naar mijn account. Ik heb het zonet maar afgesloten, maar dan is het nog de vraag wat ze nog allemaal bijhouden.
Niet het minste bedrijf met meer dan 1 miljoen klanten, maar wel WordPress gebruiken...

@Alle reacties: ah op die manier natuurlijk, ik had het verkeerd begrepen.

[Reactie gewijzigd door MeltedForest op 23 november 2021 09:08]

Zal niet om WordPress gaan, maar eerder om Softaculous, Plesk of CPANEL. De gegevens die gestolen zijn, mailadressen, klantnummers, adminwachtwoorden en SSL-privésleutels, kunnen volgens mij in alle drie die pakketten opgeslagen zijn.
GoDaddy heeft zelf een controle paneel voor zowel Wordpress alsmede SSL-certificaten (GoDaddy is zelf een Certificate Authority en geeft onder eigen label certificaten uit), dat hoeft dus niet uit een Plesk of cPanel te komen. Weet niet eens of je daar überhaupt toegang toe krijgt met die managed wordpress dienst van ze, weet dat ze cPanel gebruiken in hun normale shared omgeving (waar ook een wordpress manager ingebouwd zit vanuit cPanel; maar dat is dus iets anders dan GoDaddy's eigen "Managed Wordpress" dienst); maar dit is een losstaande dienst.

[Reactie gewijzigd door WhatsappHack op 22 november 2021 23:31]

Het datalek zit hem niet zozeer in de Wordpress omgeving van GoDaddy zelf, maar in de Managed Wordpress hosting die ze aan klanten bieden.
Dit gaat denk ik meer om het platform waar de managed Wordpress omgevingen van klanten draaien. Dus zij zetten alvast 'n Wordpress installatie voor je neer.

Denk/hoop niet dat GoDaddy een admin systeem op basis van Wordpress heeft gemaakt.
Ze bieden een Managed WordPress dienst aan, die lijkt dus gehacked te zijn
https://nl.godaddy.com/hosting/wordpress-hosting
Je zou niet verwacht dat een bedrijf van GoDaddy klantgegevens in een WordPress omgeving zou opslaan. WordPress is volgens mij het meest aangevallen stukje software op het internet.
Dat is niet wat er in het artikel staat. Ze bieden Wordpressdiensten en daar zijn logingegevens van gestolen. Waar die stonden opgeslagen wordt niet genoemd.
Geloof dat dit ook gaat om klanten die een wordpress hosting pakket afnemen. Die draaien op deze Managed Hosting omgeving. Daartoe is toegang verkregen, vervolgens kunnen andere systemen zijn benaderd en leeggetrokken. Lijkt me niet dat een hosting bedrijf zijn data opslaat in WP zelf.
Dat hebben ze ook niet. Het is de omgeving waarin zij Wordpress websites hosten voor klanten.
Dat is een lekkere loze statement. Wordpress is het meest gebruikte CMS op aarde, nogal logisch dat het het meest aangevallen stukje software op internet is.
Misschien moeten ze hun eigen dienst: Bescherm je site en je klanten - Premium zelf gaan gebruiken :+

https://nl.godaddy.com/web-security/website-security

[Reactie gewijzigd door HKLM_ op 22 november 2021 17:23]

GoDaddy heeft al niet zo'n beste reputatie
Anoniem: 588024
@prodesk23 november 2021 14:02
Kan ik bevestigen op basis van twee Reddit WP-gebruikersgroepen. Door meerdere ervaren devs daar wordt Godaddy serieus afgeraden.

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee