GoDaddy: hackergroep installeerde malware op hostingservers die sites redirectte

Webhoster GoDaddy zegt dat een hackergroep in december vorig jaar toegang kreeg tot GoDaddy's hostingsservers en daarop malware installeerde. Door die malware redirectten sommige klantsites naar schadelijke sites. De hackergroep zou GoDaddy al jaren aanvallen.

De groep kreeg toegang tot GoDaddy's cPanel-omgeving en installeerde hier malware op waardoor sites willekeurig en onregelmatig bezoekers doorstuurden naar andere sites. Hoe groot dit probleem was, is niet duidelijk, maar de webhoster zegt hier 'een klein aantal' klachten over te hebben ontvangen. De malware was vermoedelijk onderdeel van een phishingcampagne 'en andere kwaadaardige activiteiten'.

GoDaddy zegt het probleem inmiddels te hebben opgelost en is in contact met politiediensten en experts. Het bedrijf zegt op basis van onderzoek nu te denken dat de aanval door een groep is uitgevoerd die GoDaddy al jaren aanvalt. Bij een van die aanvallen zou de groep 'delen' broncode hebben gestolen. Deze groep zou onder meer achter het datalek van 28.000 accounts uit 2019 zitten en de latere diefstal van klantgegevens en adminwachtwoorden van maximaal 1,2 miljoen gebruikers in 2021. GoDaddy noemt de groep niet, maar zegt wel dat deze ook andere webhosters zou aanvallen.

Door Hayte Hugo

Redacteur

Feedback • 17-02-2023 21:04
36 • submitter: Ossebol

17-02-2023 • 21:04

36 Linkedin

Submitter: Ossebol

Lees meer

Windows-app zakelijke voip-dienst 3CX verspreidt malware na supplychainaanval Nieuws van 30 maart 2023
Amsterdamse Waterleidingduinen meldt datalek met kopers van wandelroutetickets Nieuws van 15 maart 2023
Webhostingbedrijf Vimexx verhoogt alle verlengingstarieven met 25 procent Nieuws van 27 februari 2023
Webhoster GoDaddy meldt diefstal van klantgegevens en adminwachtwoorden Nieuws van 22 november 2021
GoDaddy waarschuwt 28.000 klanten voor datalek via ongeoorloofde ssh-toegang Nieuws van 6 mei 2020
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Hack Hackers Hosting

Reacties (36)

-Moderatie-faq
36
34
10
0
0
5
Wijzig sortering
neonite
18 februari 2023 00:24
Op het gebied van security is GoDaddy het schoolvoorbeeld van hoe het niet moet. Afgelopen jaar heb ik daar aan de bel getrokken omdat je privé en betaalgegevens werden verwerkt op een server dat draaide op Apache 2.2.15, uitgebracht in 2010. Nooit een reactie gekregen, ondanks meerdere emails naar het security adres. Het zal mij niks verbazen als de hackersgroep binnen is gekomen door misbruik te maken van oude kwetsbaarheden.
Nimja
@neonite18 februari 2023 08:03
Het zou me ook niets verbazen als hun inbox vol zit van White-hats die allemaal bugs rapporteren die ze niets serieus nemen.
d3burt
@neonite19 februari 2023 16:51
Apache 2.2.15 is pas sinds november 2020 uit security support bij RedHat 6, behalve als je een ELS support contract afsluit. Het kan zelfs zijn dat GoDaddy die support heeft en dat er nog security support zit op Apache. In het algemeen is een versienummer wat je ziet een slechte indicator van het patch beleid.

Vanuit een risk management perspectief denk ik dat je het beste af bent als je niet zulke oude meuk draait, maar het kan goed zijn dat deze server het minste probleem is. Control panels als cPanel zijn altijd een interessant target voor een hacker, omdat ze heel veel verschillende dingen doen, waardoor er een groot attack surface is, terwijl ze administrator rechten hebben op alle klant omgevingen, waardoor de schade erg groot is als je een gaatje vindt. Als je cPanel draait ben je per definitie het zaadje als je niet zeer regelmatig update, en ik verwacht dat ze dat wel onder controle hebben (anders was hun probleem echt een ordegrootte erger). De kans is groot dat cPanel gepakt is met een 0-day, of in een korte tijd tussen het beschikbaar komen van de fix en het toepassen door GoDaddy.

Intrusion detection op cPanel is niet triviaal, omdat er in de logs dagelijk honderden aanvallen staan en het heel moeilijk is om het gedrag van cPanel te correleren met die aanvallen. Ik word altijd heel erg moe van security experts die roepen "als je een XDR had gehad was dit niet gebeurd". Voordat je XDR is ingeleerd ben je heel veel mankracht verder, en (a) personeel daarvoor is niet te vinden en (b) de marges op shared hosting zijn te laag om dat soort kosten te kunnen rechtvaardigen.

Daarnaast zijn cPanel exploits zeldzaam vergeleken met exploits op Wordpress, Joomla e.d., en wil je alleen al daarom niet op shared hosting draaien, want je weet gewoon dat je buurman op hetzelfde IP adres al gepakt is voordat jouw site live komt.
Roel1966
17 februari 2023 22:58
Dit heeft dan niets met die hackaanval te maken maar op de een of andere manier vind ik het een vreemde naam voor een webhoster. Maar dat even terzijde vind ik het wel weer minder dat nu niet alleen die webhoster de dupe van die hack word. Vind het veel minder dat ook gewone gebruikers de dupe worden en dan ongevraagd op kwaadaardige websites terecht komen.

Heb ook wel een beetje het idee dat b.v. een webhoster als Strato het dan toch beter voor elkaar heeft. Daar heb ik eerlijk gezegd zoiets nog nooit meegemaakt in al die tijd dat ik bij Strato host.
R0GGER
@Roel196618 februari 2023 00:19
Ahum... Strato is de GoDaddy van de Benelux.
teesee64
@R0GGER18 februari 2023 10:36
BeNeLux?. Strato zit in Dld
Roel1966
@teesee6419 februari 2023 21:24
Klopt, STRATO is een Duitse hoster.
poktor
@Roel196619 februari 2023 20:21
Godaddy is ook eigenaar van VPNBook. Een gratis vpn dienst.
JonnyTheG
17 februari 2023 22:43
Dit is zo enzo een partij waar je je niet bij moet aansluiten. Slechte service. Slechte website. Veel reclame. Opdringerig. Ik heb mijn spul er al weggehaald. Ik had trouwens ook last van dat probleem waar ze nu mee aankomen. Ze hadden het voor mij niet opgelost. Klagen heeft geen zin bij ze.
ItsNotRudy
@JonnyTheG17 februari 2023 23:59
zo enzo
Sorry, wat?
Alex3
@ItsNotRudy18 februari 2023 00:42
Ws. sowieso.
JonnyTheG
@Alex318 februari 2023 12:13
Bedankt voor je hulp. Taal is zeg maar niet mijn ding.
Orgel
@JonnyTheG18 februari 2023 14:01
Punt ;)
la cucaracha
@JonnyTheG19 februari 2023 20:11
Geen groot probleem hoor, ook ik ken überhaupt slechts 1 woord Duits.
Hoewel..... als het er op aankomt kan ik schelden als een stomdronken en doorgesnoven U-boat Führer.
arjanvr
@JonnyTheG18 februari 2023 01:18
Ik was eerst wel tevreden over Strato, fijne vps met goede specs dacht ik voor een mooie prijs maar als dan blijkt dat bij het maken van een simpele backup al de hele server onbereikbaar word is er iets goed mis. Strato support kon verder ook geen oplossing geven. Nu alle spullen op een shared hosting die goedkoper en sneller is.

Ik vermoed dat de support bij godaddy op een zelfde page niveau ligt
hjb012
@arjanvr18 februari 2023 07:44
Waar heb je het nu gehost dan, graag antwoord in DM. Alvast bedankt. :)
Nforcer181
@hjb01218 februari 2023 11:24
Ik zou het ook graag willen weten :)
JonnyTheG
@Nforcer18118 februari 2023 12:15
Siteground. Wat een top partij!!
Ralfefernandes1
@JonnyTheG19 februari 2023 23:54
Het probleem van siteground is dat na een jaar kunnen ze de prijs drie keer omhoog gooien. Wees hier voorzichtig mee. Tegenwoordig schrijven ze automatisch af van je rekening.

Ik Host mijn website tegenwoordig bij digitalocean
JonnyTheG
@Ralfefernandes120 februari 2023 14:14
Dat klopt inderdaad. Nu net gehad. Nu een jaar voor wat ik eerder voor drie betaalde. Als je niet zelf verlengd zoals ik dan doet ze 1 jaar. 2 jaar was voordeliger geweest, maar dan had ik het zelf moeten doen.
SjaakDeBeer
@arjanvr18 februari 2023 11:37
Mijn ervaringen met Strato zijn erg slecht. Unmanaged VPS afgenomen en toen deze onbereikbaar was, heeft het zo’n 4 uur geduurd voordat ze toegaven dat het een hardware probleem was ipv mijn probleem. Vervolgens nog zo’n 8 uur moeten wachten voordat ie toen weer online kwam. Het meest frappante waarover ik mij heb verbaasd is dat een storing van 12 uur afgedaan werd als een kleine storing… Voor mij nooit meer strato ondanks dat de prijs toen erg goed was.
j1b2c3
@SjaakDeBeer18 februari 2023 12:36
Alles is relatief. Een storing van 12 uur kan in jouw ogen lang zijn. Maar als dit het enige probleem op jaar basis was dan heb je een uptime van 99,86% voor super goedkoop heb je niets te klagen. Niemand garandeert 100% uptime, tenzij je er ook flink voor wilt betalen. Dus je bent aan het klagen dat je 0,14% uptime gemist hebt omdat je voor goedkoop bent gegaan ipv meer betalen voor kwaliteit.. Ben je ook zo iemand die bij ali-express kabels bestelt want lekker goedkoop en dan verbaast is dat deze kabels smelten, of niet snel data overdragen? Ik zou tekenen net als vele andere mensen in delen van de wereld voor 99% een uptime van het stroom net. Laat staan een internet verbinding.

[Reactie gewijzigd door j1b2c3 op 18 februari 2023 12:38]

the_stickie
17 februari 2023 22:07
Als ik hun statement goed begrijp, hadden ze al begin december klachten van gebruikers ontvangen, maar zijn die verticaal geklasseerd omdat ze er niet in slaagden het issue te reproduceren. Pas nu, ongeveer 2 maand later, is het opgelost en maken ze een statement.
Dat een platform als dit slachtoffer wordt van hacking, is niet al te best (maar 'kan gebeuren'?). Dat ze vervolgens blijkbaar niet de processen, techniek of skills hebben om een dergelijk issue te detecteren (na meldingen!) is nog heel wat anders. Dikke fail imo!
synoniem
@the_stickie17 februari 2023 22:42
Maar ze zijn wel goedkoop dus de klanten blijven toch wel komen.
djwice
@synoniem18 februari 2023 08:49
Ik heb de indruk dat AWS door dit incident een verandering in de samenwerking met GoDaddy is gestart.

Ik kan me indenken dat dat grote gevolgen kan hebben voor GoDaddy.
Mel33
@synoniem17 februari 2023 23:10
Na dit incident zal er wel een kosten verhoging komen. Want zoals @the_stickie opmerkt lijkt het wel alsof ze na 2 maand eindelijk het expertise personeel en software hebben bijgeschakeld.
Eerder waren ze het niet instaat, met het systeem (budget) dat ze er voor hadden.
goDiegogo
@Integer19 februari 2023 21:15
Helemaal mee eens, zo is het.
En te idioot voor woorden dat je daar gemind voor wordt.
dok33
@Integer20 februari 2023 14:05
Als je fiets is gestolen omdat je er geen of geen deugdelijk slot op had, of je huis een raam open had staan? Wat dan?

Maar ja, ook de opsporing en straf schiet tekort.
Florimon
18 februari 2023 09:29
Nou lekker dan weer. Ik had jaren terug wat domains bij GoDaddy, maar ben toen vanwege hun irritante upsell gedoe en ads overgestapt naar Uniregistry. En Uniregistry is een tijdje geleden overgenomen door... GoDaddy. Dus maar weer op zoek naar een andere partij. Iemand nog suggesties?
McBacon
@Florimon18 februari 2023 11:02
Waarom niet gewoon iets Nederlands/Europees gebruiken? TransIP of Hostnet of iets.
SjaakDeBeer
@Florimon18 februari 2023 11:43
Ik boycot alle partijen binne Team Blue en Total Webhosting Solutions. Ik zit nu bij Cloud86. Goede ervaringen mee en ‘gewoon’ telefonisch bereikbaar.
Boeshnl
@SjaakDeBeer18 februari 2023 15:40
Voor de meeste mensen komt het toch op prijs neer. Heb nu een domein gekocht en eerste jaar is 0,60 cent en daarna 5 euro per jaar. Bij cloud86 is het al snel 15 euro per jaar.

Service zal vast beter zijn maar puur om een domein te kopen is het toch vrij prijzig.
daniel.benjamin
@Florimon18 februari 2023 16:21
Namesilo
daniel.benjamin
18 februari 2023 16:21
Ik moet voor Noord-Amerikaanse klanten weleens werken op hosting van GoDaddy. Echt rampzalig, van het amateuristische niveau als Versio, TransIP, etc.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee