Plusieurs crypto-bourses avec un domaine GoDaddy ont signalé des modifications non autorisées
Le plus grand bureau d’enregistrement de noms de domaine du monde, GoDaddy, fait des pieds et des mains pour protéger ses employés après que l’entreprise ait découvert qu’ils étaient pris pour cible et utilisés dans le cadre d’attaques visant plusieurs services de crypto-monnaies.
Les rapports indiquent que les auteurs, qui n’ont pas encore été identifiés, ont redirigé au cours de la semaine dernière des e-mails et du trafic internet qui étaient à l’origine destinés à plusieurs plateformes de trading de crypto-monnaies. Le dernier incident en date est une attaque contre Liquid.com, une plateforme de trading de crypto-monnaies, datant du 13 novembre.
Le directeur général, Mike Kayamori, a affirmé dans un rapport d’incident de sécurité qu’« un fournisseur d’hébergement de domaine « GoDaddy » qui gère l’un de nos principaux noms de domaine a incorrectement transféré le contrôle du compte et du domaine à un acteur malveillant ».
Après que cet incident ait été constaté, une société de crypto-monnaies du nom de NiceHash a également découvert que certains de ses paramètres pour ses enregistrements de domaines chez GoDaddy avaient été modifiés sans autorisation. Cela signifie que pendant une brève période, elle redirigeait le trafic e-mail et internet pour le site.
« Au petit matin (UTC) du 18 novembre 2020, le domaine NiceHash n’était pas joignable. L’agent d’enregistrement GoDaddy a eu des problèmes techniques et à la suite d’un accès non autorisé aux paramètres du domaine, les enregistrements DNS du domaine NiceHash.com ont été modifiés » a expliqué l’entreprise à ses utilisateurs sur son blog.
Bien que rien n’ait été volé, les accusations non autorisées avaient été portées à partir d’une adresse Internet enregistrée chez GoDaddy. Les attaquants auraient également tenté de terminer la réinitialisation des mots de passe de plusieurs services tiers, dont Slack et Github.
Ce n’est pas la première fois que GoDaddy est confronté à des failles de sécurité. Au début de l’année, la société a été confrontée à une arnaque de phishing qui a permis aux attaquants de prendre le contrôle de plus d’une demi-douzaine de noms de domaine en mars et 28 000 comptes d’hébergement internet ont été compromis en mai.
Les recherches menées par Farsight Security ont indiqué que plusieurs autres plateformes de crypto-monnaie telles que Bibox, Celsius Network et Wirex pourraient également avoir été visées par le même groupe.
Un porte-parole de GoDaddy concernant cette question a déclaré que l’équipe de sécurité de l’entreprise « a enquêté et confirmé l’activité d’acteurs criminels, y compris l’ingénierie sociale d’un nombre limité d’employés de GoDaddy ».
Cependant, le porte-parole n’a pas précisé les moyens par lesquels les employés ont été amenés à faire des changements non autorisés, ce qui montrerait que l’affaire est toujours en cours.
Traduit par Carolane de Palmas