Das Webhosting-Unternehmen GoDaddy wurde von der US-amerikanische Federal Trade Commission (FTC) per Anordnung dazu verpflichtet, seine Systeme besser zu sichern
Die US-amerikanische Federal Trade Commission (FTC) hat eine Anordnung erlassen, die den Webhosting-Giganten GoDaddy dazu verpflichtet, seine Dienste besser zu sichern. GoDaddy stellt laut eigenen Angaben mit weltweit über 20+ Millionen Kunden und mehr als 82 Millionen verwalteten Domainnamen für kleine, unabhängige Firmen die größte Cloud-Plattform der Welt bereit. Seit 2018 ist GoDaddy aufgrund erheblicher, fahrlässiger Sicherheitsmängel und den damit einhergehenden Datenschutzverletzungen immer wieder in die Kritik geraten.
Im Januar 2025 erhob die Behörde zudem den Vorwurf, GoDaddy habe Nutzer über seine Sicherheitspraktiken in die Irre geführt. Die FTC stellte fest, dass GoDaddy aufgrund fehlender Standardsicherheitsmaßnahmen keine Kenntnis von Schwachstellen in seiner eigenen Hosting-Umgebung hatte.
Die Anordnung der FTC untersagt dem Unternehmen, Kunden über seine Sicherheitsvorkehrungen zu täuschen, und verpflichtet GoDaddy, ein robustes Informationssicherheitsprogramm zu etablieren, APIs mit HTTPS oder anderen sicheren Übertragungsprotokollen zu sichern und ein Programm zur Verwaltung von Software- und Firmware-Updates einzurichten.
Die Anordnung verpflichtet GoDaddy außerdem, alle zwei Jahre einen unabhängigen Gutachter mit der Überprüfung seines Informationssicherheitsprogramms zu beauftragen und alle Vorfälle, bei denen Kundendaten offengelegt, abgerufen oder gestohlen wurden, innerhalb von zehn Tagen zu melden.
Unter anderem muss das Hosting-Unternehmen mindestens eine obligatorische Multi-Faktor-Authentifizierung (MFA) für alle Kunden, Mitarbeiter und Auftragnehmer „für alle Tools und Assets, die den Hosting-Service unterstützen, einschließlich der Verbindung zu Datenbanken“ sowie „mindestens eine Methode, die keine Angabe einer Telefonnummer erfordert, beispielsweise durch die Integration von Authentifizierungsanwendungen oder die Verwendung eines Sicherheitsschlüssels“ einführen. Eine Geldstrafe wurde dem Unternehmen nicht auferlegt.
Schwerwiegende Sicherheitsverletzungen durch unzureichende Sicherheitspraktiken
Laut der Beschwerde der FTC verfügte GoDaddy über unzureichende Sicherheitspraktiken, darunter fehlende Multi-Faktor-Authentifizierung (MFA), ein angemessenes Software-Update-Management und die Protokollierung von Sicherheitsereignissen. Darüber hinaus versäumte das Unternehmen es, Bedrohungen zu überwachen, sein Netzwerk zu segmentieren, die Dateiintegrität sowie Assets zu überwachen und zu verwalten, Risiken für seine Hosting-Dienste zu bewerten oder die Verbindungen zu Kundendaten zu sichern.
Laut der FTC führten diese Sicherheitslücken zwischen 2019 und 2022 zu mehreren schwerwiegenden Sicherheitsverletzungen, die Angreifern den Zugriff auf Kundendaten und -websites ermöglichten. So gab GoDaddy im Februar 2023 bekannt, dass unbekannte Angreifer Schadsoftware auf kompromittierten Servern installierten und Quellcode stahlen, nachdem sie in einem mehrjährigen Angriff in die Shared-Hosting-Umgebung von cPanel eingedrungen waren.
Das Unternehmen entdeckte den Vorfall Anfang Dezember 2022, nachdem Kundenbeschwerden eingegangen waren, wonach ihre Websites missbraucht wurden, um auf unbekannte Domains umzuleiten. GoDaddy gab damals außerdem bekannt, dass die im März 2020 und November 2021 bekannt gewordenen Sicherheitsverletzungen mit derselben Kampagne in Verbindung standen.
Bei der Sicherheitsverletzung im November 2021 hackten sich Angreifer mit einem kompromittierten Passwort in die Hosting-Umgebung von GoDaddy ein und stahlen E-Mail-Adressen, WordPress-Administratorkennwörter, sFTP- und Datenbankanmeldeinformationen sowie private SSL-Schlüssel von 1,2 Millionen Managed-WordPress-Kunden. Nach der Sicherheitsverletzung im März 2020 informierte GoDaddy 28.000 Kunden darüber, dass ein Angreifer im Oktober 2019 ihre Webhosting-Anmeldeinformationen für eine SSH-Verbindung verwendet hatte.
Quelle: BleepingComputer am 22.05.2025