Cyberthreat.id - Penyedia infrastruktur internet GoDaddy pada hari Senin (22 November 2021) mengumumkan hacker telah mendapat akses ke informasi pribdi lebih dari 1,2 juta pelanggannya yang menggunakan hosting Managed WordPress.

GoDaddy adalah salah satu pendaftar domain terbesar di dunia dan perusahaan hosting web yang menyediakan layanan kepada lebih dari 20 juta pelanggan di seluruh dunia. Salah satu layanannya adalah menyediakan hosting yang memudahkan pengelolaan website berbasis WordPress yang disebut Managed WordPress.

Dalam dokumen pelaporannya ke Komisi Sekuritas dan Bursa AS, seperti dilansir The Record, GoDaddy mengatakan  menemukan adanya pelanggaran minggu lalu, pada 17 November, setelah melihat "aktivitas mencurigakan" di lingkungan hosting Managed WordPress.

Meski baru diketahui pada 17 November, tetapi penyerang telah mendapat akses ke jaringannya dan data pada sistem yang disusupi setidaknya sejak 6 September 2021.

"Kami mengidentifikasi aktivitas mencurigakan di lingkungan hosting Managed WordPress kami dan segera memulai penyelidikan dengan bantuan firma forensik TI dan menghubungi penegak hukum," kata Demetrius Comes, Chief Information Security Officer GoDaddy.

"Menggunakan kata sandi yang disusupi, pihak ketiga yang tidak sah mengakses sistem penyediaan di basis kode lama kami untuk Managed WordPress."

"Investigasi kami sedang berlangsung dan kami menghubungi semua pelanggan yang terkena dampak secara langsung dengan rincian spesifik. Pelanggan juga dapat menghubungi kami melalui pusat bantuan kami (https://www.godaddy.com/help) yang mencakup nomor telepon berdasarkan negara," tambah GoDaddy.

Penyerang dapat mengakses informasi pelanggan GoDaddy berikut menggunakan kata sandi yang disusupi:

• Hingga 1,2 juta pelanggan Managed WordPress aktif dan tidak aktif memiliki alamat email dan nomor pelanggan mereka.

• Kata sandi Admin WordPress asli yang dikeluarkan GoDaddy kepada pelanggan saat situs dibuat.

• Untuk pelanggan aktif, nama pengguna dan kata sandi sFTP dan database terekspos
   
• . Untuk subset pelanggan aktif, kunci pribadi SSL diekspos.

GoDaddy mengatakan sudah mengatur ulang sFTP dan kata sandi basis data yang diretas. Perusahaan juga mengatur ulang kata sandi akun admin untuk pelanggan yang masih menggunakan kata sandi default yang dikeluarkan GoDaddy saat situs mereka dibuat.

Perusahaan mengatakan masih dalam proses penerbitan dan pemasangan sertifikat SSL baru untuk pelanggan yang terpengaruh, sebuah proses yang sedikit lebih rumit daripada mengatur ulang kata sandi.

GoDaddy mengatakan telah memberi tahu penegak hukum dan bekerja sama dengan perusahaan forensik TI untuk menyelidiki insiden tersebut lebih lanjut. Pemberitahuan kepada pelanggan juga telah dikirim.

Perusahaan juga mengungkapkan pelanggaran pada Mei  tahun lalu, ketika memperingatkan pelanggannya bahwa pihak yang tidak berwenang menggunakan kredensial akun hosting web mereka pada bulan Oktober untuk terhubung ke akun hosting mereka melalui SSH. Tim keamanan GoDaddy menemukan insiden itu setelah melihat file SSH yang diubah di lingkungan hosting GoDaddy dan aktivitas mencurigakan di subset server GoDaddy.

Pada 2019, scammers juga menggunakan ratusan akun GoDaddy yang disusupi untuk membuat 15.000 subdomain, mencoba meniru situs web populer dan mengarahkan calon korban ke halaman spam.[]