GoDaddy is weer eens in het nieuws door een datalek. De inloggegevens van 1,2 miljoen klanten zijn in vreemde handen gevallen. En ook nu is de communicatie over oorzaak en impact eigenaardig te noemen.
Wat is GoDaddy
Het bedrijf waarvan zoveel klantgegevens zijn gelekt gaat er prat op de grootste hoster ter wereld te zijn. De meeste omzet haalt het in Amerika. Er is business in de EU, maar procentueel stelt dat niet zo veel voor. Als grote aanbieder is GoDaddy een gewild doelwit van criminelen. De afgelopen vijf jaar zijn er vier gevallen van succesvolle cyberinbraken gemeld.
Eerst de beurs, dan de klanten
Dat melden is iets waarbij GoDaddy duidelijk weigert de belangen van de klanten voorop te stellen. Ook bij de inbraak uit september (!) die pas een paar dagen terug bekend is geworden speelt dat. De beurs – GoDaddy is beursgenoteerd – wordt eerder geïnformeerd dan de klanten. De inhoud van de mails naar de klanten toe laat het nodige te wensen over.
EU klantgegevens?
Zoals gezegd de meeste business zit in Amerika. Daar gelden andere regels. Dus het melden van een data lek bij een “Autoriteit Persoonsgegevens” is er wellicht niet nodig of zelfs maar mogelijk. Maar dat wil niet zeggen dat er geen EU burgers en ondernemingen gedupeerd zijn. Daarover is niet boven tafel te krijgen. Bij het genoemde aantal websites en het type dienst is het echter goed mogelijk dat niet alle factuuradressen een Amerikaanse postcode hebben.
Er zijn al jaren heel veel redenen geen zaken te doen met GoDaddy. De vijfde hack op een rij is feitelijk niet meer dan een extra reden toevoegen.
Managed – waarom en hoe?
Dat is echter niet het hele verhaal. De getroffen dienst is een “managed service”. Iedereen die wel een WordPress site wil, maar die zelf niet wil onderhouden kiest voor die optie. De definitie van onderhoud is echter raar. Het onderhoud van WordPress kan voor een groot deel geautomatiseerd worden. De enige reden waarom plug-ins daarvan worden uitgezonderd is als het gaat om maatwerk of exotische koppelingen.
Schijnbaar slaagt GoDaddy er in veel klanten exotische toepassingen te gebruiken, of ervan te overtuigen dat het automatiseren niet vrij is van problemen of risico’s. Daarbij verzwijgt het , dat het voor het onderhoud zelf gebruik maakt van scripts en processen die alles vanzelf doen. Voor dat verzwegen geautomatiseerde proces maakt het gebruik van credentials van de websitehouders. Die goed opslaan en encrypten had schijnbaar geen hoge prioriteit.
Noot: er is gecommuniceerd 1,2 miljoen customers, Het aantal websites kan dus veel groter zijn, omdat niet iedere klant aan een website genoeg heeft.
