[English]Vor einigen Tagen hat der US-Registrar und Hoster GoDaddy einen großen Hack öffentlich gemacht, bei dem der Angreifer Zugriff auf 1,2 Millionen Kundendaten hatte. Mir ging direkt "ist auch HostEurope als Tochter betroffen" durch den Kopf. Mittlerweile lese ich Berichte, dass HostEurope auch betroffen sei. Eine Nachfrage beim Support hat die Nacht adhoc nichts ergeben, die Antwort der Fachabteilung steht aber noch aus.
Anzeige
GoDaddy-Hack tangiert 1,2 Millionen Kunden
Zum Sachverhalt: Der US-Hoster GoDaddy ist Opfer eines Cyberangriffs geworden und hat das zum 22. November 2021 in einer Mitteilung an die US-Börsenaufsicht auch bestätigt. Bereits am 17. November 2021 entdeckten die Techniker des Hosters einen unbefugten Zugriff Dritter auf die verwendete Managed WordPress Hosting-Umgebung.
Der Angreifer, der sich mithilfe eines kompromittierten Passworts Zugriff auf das Provisioning-System der GoDaddy Legacy-Codebasis für Managed WordPress verschaffte, wurde zwar sofort vom System ausgesperrt. Bei dem Vorfall wurden bis zu 1,2 Millionen aktive und inaktive Managed WordPress-Kunden mit ihrer E-Mail-Adresse und der Kundennummer offengelegt. Auch das ursprüngliche WordPress-Administrator-Passwort zur Bereitstellung des Pakets wurde wohl abgegriffen (diese Passwörter wurden bereits zurückgesetzt).
Aber es wurden auch Benutzernamen und Kennwörter für sFTP und die Datenbank aktiver Nutzer offengelegt (die Passwörter wurden zurückgesetzt). Und bei einer Teilmenge aktiver Kunden wurde der private SSL-Schlüssel offengelegt.
Auch Hosting-Reseller betroffen
Die Kollegen von Bleeping Computer schreiben in diesem Artikel, dass auch Wiederverkäufer von WordPress-Hosting-Paketen betroffen seien. Ich bin über nachfolgenden Tweet alarmiert worden.
Anzeige
Bezogen wird sich auf Dan Rice, Vizepräsident der Unternehmenskommunikation bei GoDaddy, der angibt, dass sechs Reseller ebenfalls von diesem massiven Verstoß betroffen sind. Genannt werden tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet und Host Europe.
Rice hat dies wohl gegenüber WordFence bestätigt, die das Ganze im Blog-Beitrag GoDaddy Breach Widens to tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, and Host Europe öffentlich gemacht haben. Dazu heißt es:
The GoDaddy brands that resell GoDaddy Managed WordPress are 123Reg, Domain Factory, Heart Internet, Host Europe, Media Temple and tsoHost. A small number of active and inactive Managed WordPress users at those brands were impacted by the security incident. No other brands are impacted. Those brands have already contacted their respective customers with specific detail and recommended action.
Laut WordFence sollen die Betroffenen informiert worden sein. In diesem Schreiben (siehe folgender Screenshot) lese ich, dass die Untersuchung zeigte, dass die Zugriffe bereits ab dem 6. September 2021 erfolgten.
Details sind dem WordFence-Artikel zu entnehmen. Da ich die Blogs hier bei HostEurope unter WordPress laufen lasse, aber keine Benachrichtigung von denen erhielt, habe ich gestern per Chat beim Support nachgefragt. Da ist bisher nichts von einem Hack und Datenabgriff bekannt. Es wurde aber ein Ticket eröffnet und ich soll eine Rückmeldung erhalten. Falls es neue Erkenntnisse gibt, trage ich diese hier nach.
Ergänzung: Wenige HostEurope-Kunden betroffen
Wenige Stunden nach meiner Supportanfrage mit Ticket habe ich folgende Rückmeldung der HostEurop-Fachabteilung bekommen.
vielen Dank für Ihre Anfrage.
Eine kleine Anzahl von Host Europe Managed WordPress Kunden war von dem Sicherheitsvorfall betroffen. Alle betroffenen Host Europe-Kunden wurden benachrichtigt.
Wir bedauern diesen Vorfall aufrichtig und entschuldigen uns. Unser Team hat bereits Maßnahmen ergriffen, um unser Provisioning-System mit zusätzlichen Schutzmechanismen zu stärken.
Das Managed WordPress Produkt ist physikalisch von anderen administrierten Produkten, wie z.B. Webhosting oder Webserver Produkten, getrennt.
Ihr Webserver Paket ist somit nicht betroffen.
Ähnliche Artikel:
Hoster GoDaddy gehackt und 1,2 Millionen Kunden betroffen
GoDaddy-Angestellte von Hoster bei Cyber-Angriff ausgetrickst
GoDaddy übernimmt die Host Europe Group
Anzeige
Aus dem Forum bei DF:
DomainFactory bietet GoDaddy Managed WordPress an. Eine kleine Anzahl aktiver und inaktiver Managed WordPress-Nutzer bei DomainFactory war von dem Vorfall betroffen. Wir haben bereits Benachrichtigungen an die betroffenen Kunden mit genauen Angaben und Handlungsempfehlungen verschickt. Wenn Sie nicht über Managed WordPress verfügen, waren Ihr Account und Ihre Daten von diesem begrenzten Vorfall nicht betroffen.
Quelle:
Hat noch jemand seine Domain bei GoDaddy und benutzt deren API?
Ich kann machen was ich will, sobald ich einen API Key erstelle sehe ich kurz danach in der log von GoDaddy dass sich jemand aus Amerika eingeloggt hat.
Dabei habe ich den Key nur erstellt, keine Anwendung die Ihn benutzt oder ähnliches. Nicht einmal in die Zwischenablage habe ich es kopiert.
Dies passiert zudem mit mehreren (unter anderem frisch aufgesetzten) Rechnern in mehreren Netzwerken.
Ich befürchte, dass dort eventuell noch ganz andere Lücken zu stopfen sind. Vom Support heißt es nur: "Dass muss vom Kunden kommen."