GoDaddy: Angreifer hatten SSH-Zugriff auf rund 28.000 Hosting-Accounts

Ein unbefugter Zugriff auf GoDaddy-Hosting-Accounts blieb mehrere Monate lang unbemerkt.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Iranische Hacker sollen Dutzende deutsche Universitäten ausspioniert haben

(Bild: asharkyu/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Olivia von Westernhagen

Im Zuge eines Hackerangriffs auf Server des Domainregistrars und Webhosters GoDaddy im vergangenen Jahr wurden Hosting-Accounts von rund 28.000 Kunden kompromittiert. Wie GoDaddy in einem offiziellen Statement mitteilte, gelang es dem oder den unbekannten Angreifer(n), sich durch Manipulation einer SSH-Datei Zugriff auf die SSH-Credentials (Benutzernamen und Passwörter) der GoDaddy-Kunden zu verschaffen.

Das kalifornische Justizministerium, das sich mit dem Angriff befasste, gab gegenüber Forbes an, dass dieser wohl schon am 19. Oktober 2019 stattfand. Allerdings wurde GoDaddy laut eigenem Statement erst Monate später, nämlich am 23. April 2020, auf die Vorgänge aufmerksam. Man habe dann "umgehend" die kompromittierten SSH-Credentials zurückgesetzt und die manipulierte Datei entfernt.

GoDaddy zufolge liegen keine Hinweise darauf vor, dass der Angreifer tatsächlich von den Zugangsdaten Gebrauch gemacht oder Änderungen an den Hosting-Accounts vorgenommen habe. Allerdings scheint die Vorstellung, dass der Angreifer seine – offenbar über einen recht langen Zeitraum vorhandenen – Zugriffsmöglichkeiten tatsächlich nicht genutzt haben soll, eher abwegig.

Vom Verkauf kopierter Daten in Untergrundforen über personalisiertes Phishing bis hin zur Installation von Backdoors, Mining-Skripten oder sonstigem Schadcode auf Websites kompromittierter Kunden sind viele Szenarien des Datenmissbrauchs denkbar. Und angesichts der Tatsache, dass das Datenleck zunächst nicht bekannt war, hätten weder GoDaddy noch seine Kunden sofort einen Zusammenhang herstellen können.

Mindestens einige der betroffenen Kunden erhielten mittlerweile eine E-Mail, in der GoDaddy über das Datenleck informiert. In ihr betont das Unternehmen nochmals, dass Hosting-Accounts, nicht aber die jeweiligen Haupt-Accounts nebst darin gespeicherten Daten von dem Vorfall betroffen gewesen seien: "Your main GoDaddy.com customer account, and the information stored within your customer account, was not accessible by this threat actor."

GoDaddy empfielt betroffenen Kunden, ihren Hosting-Account beziehungsweise die dort hinterlegten Daten gründlich auf mögliche Manipulationen zu prüfen. Zu diesem Zweck (und wohl als "Wiedergutmachung") stelle man die Sicherheitsprodukte "Website Security Deluxe" und "Express Malware Removal" ein Jahr lang kostenlos zur Verfügung.

Mehr Infos

tretretert

(ovw)