źródło: https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/

Serwis używany w szablonach witryn www opartych o WordPress: GoDaddy ujawnił, że nieznany napastnik uzyskał nieautoryzowany dostęp do systemu używanego do obsługi witryn zarządzanych właśnie przez WordPress, co wpłynęło na nawet 1,2 miliona ich klientów korzystających z WordPressa. Liczba ta może być większa gdyż niektórzy klienci GoDaddy mają na swoich kontach wiele zarządzanych witryn WordPress.

Zgodnie z raportem złożonym przez GoDaddy w SEC, atakujący początkowo uzyskał dostęp za pomocą zhakowanego hasła 6 września 2021 r., a został on wykryty 17 listopada 2021 r., kiedy to jego poświadczenia zostały unieważnione. Chociaż firma podjęła natychmiastowe działania w celu złagodzenia szkód, atakujący miał ponad dwa miesiące na swoje działania, więc każdy, kto obecnie korzysta z produktu GoDaddy Managed WordPress, powinien przyjąć tę wiadomość jako bardzo możliwy wyciek hasła GoDaddy.

Wygląda na to, że GoDaddy przechowywał dane uwierzytelniające sFTP jako tekst lub w formacie, który można zamienić na zwykły tekst. Firma prawdopodobnie nie używała generatora z podwójną autentykacją haseł lub klucza publicznego, które są uważane za najlepsze praktyki branżowe dotyczące sFTP. Umożliwiło to atakującemu bezpośredni dostęp do danych uwierzytelniających hasła bez konieczności ich łamania.

Zgodnie ze zgłoszeniem w SEC: „W przypadku aktywnych klientów ujawniono nazwy użytkownika i hasła sFTP i bazy danych”.

Próbowaliśmy skontaktować się z firmą GoDaddy w celu uzyskania komentarza i potwierdzenia naszych ustaleń, ale firma nie odpowiedziała natychmiast na nasze prośby o komentarz. Więcej szczegółów tutaj.