Data van 1,2 miljoen WordPress-klanten gelekt bij lek webhoster GoDaddy

Het datalek ontstond door een digitale inbraak op 6 september, zo schrijft GoDaddy-CISO Demetrius Comes in een verklaring. Een niet-geautoriseerde derde partij wist met een gestolen wachtwoord in het provisioning-systeem van hun legacy code base voor Managed WordPress te komen. Op 17 november merkte de webhoster de toegang van de derde partij op. Daarop werd een onderzoek gestart met behulp van een forensisch bedrijf en werd contact opgenomen met de politie.

Veel data gelekt

De derde partij kon via de kwetsbaarheid toegang krijgen tot diverse gegevens. Daaronder vallen onder meer de e-mailadressen en klantnummers van maximaal 1,2 miljoen actieve en inactieve Managed WordPress-klanten. Ook zijn tijdelijke WordPress Admin-wachtwoorden uitgelekt, evenals inloggegevens voor sFTP en databases. Al deze wachtwoorden zijn gereset. Voor een subset van de klanten is ook de SSL private key op straat beland. Deze klanten krijgen nieuwe certificaten. 

GoDaddy zegt in zijn verklaring dat het onderzoek nog loopt. Alle getroffen klanten worden persoonlijk benaderd met specifieke details. "We bieden onze oprechte excuses aan voor dit incident en de zorgen die het bij onze klanten veroorzaakt", aldus het bedrijf. "We leren van dit incident en nemen nu al stappen om onze systemen beter te beveiligen."