GoDaddy ยอมรับว่าข้อมูลของลูกค้าจำนวน 1.2 ล้านคนรั่วไหล หลังจากแฮกเกอร์ได้เข้าถึงระบบ Managed WordPress hosting ของบริษัท โดยทาง GoDaddy ตรวจพบเหตุการณ์เมื่อวันพุธที่ 17 พฤศจิกายนที่ผ่านมา แต่ผู้โจมตีสามารถเข้าถึงเครือข่าย และข้อมูลที่อยู่ในระบบที่ถูกโจมตีได้ตั้งแต่วันที่ 6 กันยายน 2564
Demetrius Comes CISO ของ GoDaddy กล่าวว่า "เราระบุเหตุการณ์ที่น่าสงสัยใน WordPress hosting ภายใต้การจัดการของเรา และเริ่มการตรวจสอบทันทีด้วยความช่วยเหลือจากบริษัทด้านไอที และได้ติดต่อหน่วยงานด้านกฎหมาย"
ผู้โจมตีสามารถเข้าถึงข้อมูลของลูกค้า GoDaddy ต่อไปนี้ โดยใช้รหัสผ่านที่ถูกขโมยมา:
- ลูกค้าของระบบ Managed WordPress ทั้งที่ยังมีการใช้งานอยู่ และไม่ได้ใช้งานแล้วมากกว่า 1.2 ล้านราย ข้อมูลที่รั่วไหลออกไปคืออีเมล และหมายเลขลูกค้า ซึ่งรายชื่ออีเมลที่ถูกขโมยไปมีความเสี่ยงต่อการถูกโจมตีแบบฟิชชิ่ง
- รหัสผ่านของผู้ดูแลระบบ WordPress ที่จะถูกตั้งขึ้นในการใช้งานครั้งแรกถูกขโมยไป หากลูกค้ายังมีการใช้รหัสเดิมนี้อยู่ ทางทีมทำการ Reset password เรียบร้อยแล้ว
- สำหรับลูกค้าที่มีการใช้งาน sFTP และ database usernames และ password ก็ถูกขโมยออกไปเช่นกัน ทางทีมได้ทำการ Reset Password เรียบร้อยแล้ว
- สำหรับลูกค้ารายย่อยที่ยังใช้งานอยู่ ข้อมูล SSL private key ได้ถูกขโมย ทางทีมกำลังดำเนินการแก้ไข และติดตั้ง certificates ใหม่ให้กับลูกค้า
บริษัทยังเปิดเผยการถูกโจมตีในเดือนพฤษภาคมปีที่แล้ว และได้แจ้งเตือนลูกค้าบางรายว่ามีบุคคลที่ไม่ได้รับอนุญาตใช้ข้อมูล Credentials ของบัญชีเว็บโฮสติ้งในเดือนตุลาคมเพื่อเชื่อมต่อกับบัญชีโฮสติ้งผ่าน SSH
ทีม Security ของ GoDaddy ค้นพบเหตุการณ์ดังกล่าวหลังจากพบไฟล์ SSH ที่ถูกแก้ไขในโฮสต์ของ GoDaddy และเหตุการณ์ที่น่าสงสัยบน Subset บนเซิร์ฟเวอร์ของ GoDaddy
ที่มา: bleepingcomputer