GoDaddy, el proveedor de servicios de alojamiento web más grande del mundo con más de 84 millones de dominios registrados de más de 21 millones de clientes, ha admitido haber sufrido una brecha de seguridad durante "varios años" que ha permitido a un mismo grupo de atacantes aún no identificado instalar malware y robar parte de su código fuente.
La compañía ha revelado este incidente de seguridad en su última presentación ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), su informe anual 10-K, y también ha emitido un comunicado en el que aporta detalles del mismo.
Según señala, a principios de diciembre de 2022 comenzó a recibir "una pequeña cantidad de quejas de clientes sobre el redireccionamiento intermitente de sus sitios web" y esto llevó a que investigara el problema y descubriera que "los redireccionamientos intermitentes estaban ocurriendo en sitios web aparentemente aleatorios alojados en nuestros servidores de alojamiento compartido de cPanel".
"A medida que continuaba nuestra investigación, descubrimos que un tercero no autorizado había obtenido acceso a los servidores en nuestro entorno de alojamiento compartido de cPanel e instaló malware que provocaba la redirección intermitente de los sitios web de los clientes", reconoce GoDaddy, y añade: "Una vez que confirmamos la intrusión, remediamos la situación e implementamos medidas de seguridad en un esfuerzo por prevenir futuras infecciones".
Atribuye este incidente a "un grupo sofisticado y organizado"
GoDaddy atribuye este incidente, manifestando tener "evidencia" y la confirmación de la policía, a un "grupo sofisticado y organizado" que se enfocó en servicios de alojamiento como los suyos y que, aparentemente, tiene como objetivo final "infectar con malware sitios web y servidores para campañas de phishing, distribución de malware y otras actividades maliciosas".
Relaciona esta brecha con otros dos incidentes de seguridad, de 2020 y 2021
El gigante de alojamiento web también ha vinculado el incidente de diciembre de 2022 con otras dos brechas que tuvieron lugar en marzo de 2020 y noviembre de 2021.
La primera comprometió las credenciales de inicio de sesión de alojamiento "de aproximadamente 28.000 clientes, así como una pequeña parte" de sus empleados. Y, la segunda, la de noviembre de 2021, afectó a los datos de 1,2 millones de usuarios del gestor de contenidos WordPress, incluyendo sus direcciones de correo electrónico y contraseñas de administración.
"Estamos trabajando con varios organismos encargados de hacer cumplir la ley de todo el mundo, además de expertos forenses, para investigar más a fondo el problema", asegura GoDaddy en su comunicado, donde también se disculpa por cualquier inconveniente que haya podido causar y hace hincapié en que está utilizando las lecciones que les está dejando este incidente para "mejorar la seguridad de nuestros sistemas y proteger aún más a nuestros clientes y sus datos".