Zgodnie z raportem złożonym przez GoDaddy w SEC, atakujący początkowo uzyskał dostęp za pomocą zhakowanego hasła 6 września 2021 r., a został on wykryty 17 listopada 2021 r., kiedy to jego poświadczenia zostały unieważnione. Chociaż firma podjęła natychmiastowe działania w celu złagodzenia szkód, atakujący miał ponad dwa miesiące na swoje działania, więc każdy, kto obecnie korzysta z produktu GoDaddy Managed WordPress, powinien przyjąć tę wiadomość jako bardzo możliwy wyciek hasła GoDaddy.
Wygląda na to, że GoDaddy przechowywał dane uwierzytelniające sFTP jako tekst lub w formacie, który można zamienić na zwykły tekst. Firma prawdopodobnie nie używała generatora z podwójną autentykacją haseł lub klucza publicznego, które są uważane za najlepsze praktyki branżowe dotyczące sFTP. Umożliwiło to atakującemu bezpośredni dostęp do danych uwierzytelniających hasła bez konieczności ich łamania.
Zgodnie ze zgłoszeniem w SEC: „W przypadku aktywnych klientów ujawniono nazwy użytkownika i hasła sFTP i bazy danych”.
Próbowaliśmy skontaktować się z firmą GoDaddy w celu uzyskania komentarza i potwierdzenia naszych ustaleń, ale firma nie odpowiedziała natychmiast na nasze prośby o komentarz. Więcej szczegółów tutaj.