GoDaddy is een grote hoster en alleen al daarom een gewild doelwit van cybercriminelen. Het is ook een makkelijk doelwit, want security heeft er een lage prioriteit. Zoveel is weer eens aangetoond met de laatste onthullingen. Het bedrijf geeft toe dat criminelen al drie jaar toegang hebben tot de infrastructuur.
De communicatieafdeling van GoDaddy had de afgelopen week een drukke agenda. 13 februari moest het kwartaalbericht worden gepubliceerd. Kort daarvoor was er het nieuws over het schrappen van acht procent van de banen. Die volgorde was geen toeval. Ontslagrondes heten positieve indruk te maken op beleggers en een steuntje voor het aandeel was welkom. Uit de op donderdag gepubliceerde kwartaalcijfers blijkt namelijk dat de groei en omzet bijna tot stilstand is gekomen. De core business van het bedrijf, het registeren van domeinnamen, vertoont krimp.
SEC melding
Op donderdag moesten niet alleen de cijfers naar buiten en een verhaal over de verwachtingen voor 2023. Bij de cijfers hoort ook een uitgebreide verklaring voor toezichthouder SEC. Daarin staat iets over cybercriminaliteit en een lek dat eigenlijk een opeenstapeling van datalekken lijkt te zijn. Die melding is voor iedereen leesbaar en toegankelijk. Dat wil niet zeggen dat GoDaddy er tijdens de presentatie voor de pers veel aandacht aan heeft besteed. Gelukkig is er een actieve techpers die dit bedrijf goed in de gaten houdt.
Wat wil het geval. Het bedrijf heeft enkele jaren achtereen te kampen gehad met datalekken. Elke keer dacht men dat het losse “incidenten” waren. Van elk van die incidenten is melding gemaakt naar de toezichthouder en de betroffen klanten. Die laatste groep had dan de taak de eigen klanten (bijvoorbeeld de bezoekers van de websites gehost bij GoDaddy) te informeren.
Professionals plaatsten al vraagtekens bij de verklaringen die elke keer werden gegeven, maar bij gebrek aan meer inzicht moest men het hiermee doen. Nu weten we dat er samenhang is geweest tussen alle incidenten. In de melding naar toezichthouder staat namelijk:
“Based on our investigation, we believe these incidents are part of a multi-year campaign by a sophisticated threat actor group that, among other things, installed malware on our systems and obtained pieces of code related to some services within GoDaddy,”
De infrastructuur van hoster GoDaddy is al drie jaar lang toegankelijk voor een of meerdere groepen cybercriminelen. De ene keer is de webhosting van klanten via de C-panel omgeving geïnfiltreerd en is selectief ransomware geplaatst, de andere keer is de dedicated WordPress omgeving ondermijnd. Iets dergelijks is ook gebeurd met het mailplatform en de DNS servers, waarbij het laatste veel gevaarlijker was dan op het eerste gezicht lijkt.
Ongeloofwaardig
Het komt volslagen ongeloofwaardig over dat het bedrijf drie jaar lang niet in de gaten heeft gehad dat al die aanvallen te herleiden waren tot een geforceerde digitale deur. De mogelijke verklaring is dat GoDaddy totaal geen zin heeft gehad grondig onderzoek te (laten) verrichten. Groei heeft altijd de hoogste prioriteit gehad en dat gaat gepaard met marketing die zelfs in Amerika als spam wordt ervaren. Het omstreden imago van het bedrijf is grotendeels daarop terug te voeren, maar de technische problemen dragen daar ook aan bij.
AVG en extra ophef
Her en der is nu te lezen dat er meer eigenaardigheden zijn over de laatste periode die wijzen om meer schade door het lek bij hoster GoDaddy dan het bedrijf heeft gemeld. De meeste omzet haalt GoDaddy in Amerika, maar het heeft ook klanten en resellers in de EU. De AVG kan dan nog voor wat extra ophef gaan zorgen mocht blijken dat er ook data van EU burgers in gelekt.