اختراق GoDaddy الممتد لسنوات: كيف عاش المتسللون داخل أكبر شركة تسجيل نطاقات في العالم لمدة ثلاث سنوات
بين عامَي 2020 و2022، استوطنت مجموعة قراصنة متمرسة داخل بنية تحتية GoDaddy — سرقت الكود المصدري، وكشفت بيانات 1.2 مليون عميل من خدمة Managed WordPress، وأعادت توجيه مواقع العملاء إلى مواقع خبيثة. تحليل معمق في مخاطر الاعتماد على مزود واحد، وما يعلمنا إياه عن نقاط الإخفاق الفردية.
- domains
- security
- dns
- domain-security
شركة تسجيل النطاقات هي أكثر الشركات مللاً في حياتك — وفي نفس الوقت تعتمد عليها اعتماداً كاملاً.
تدفع لها مرة في السنة. تسجل دخولك ربما مرتين. وفي المقابل، تحتفظ بالشيء الوحيد الذي يجعل نشاطك التجاري متاحاً للعالم: حق القول بأن "هذا الاسم يشير إلى هنا". البريد الإلكتروني، والموقع، وتسجيل الدخول، والمدفوعات — كل خيط رقمي تملكه يمر عبر من يتحكم في DNS نطاقك. معظم الناس لا يفكرون في هذه الشركة مرة أخرى بعد إتمام عملية الشراء.
لأكثر من سنتين، كانت مجموعة قراصنة محترفة تفكر في GoDaddy باستمرار. بل كانوا يعيشون داخلها.
GoDaddy هي أكبر شركة تسجيل نطاقات في العالم، بعشرات الملايين من العملاء وأكثر من 80 مليون نطاق تحت إدارتها. وبين أواخر عام 2019 ونهاية عام 2022 على أقل تقدير، تعتقد GoDaddy الآن أن نفس المتسلل المتواصل تنقل عبر أنظمتها مراراً — سارقاً الكود المصدري، وكاشفاً بيانات 1.2 مليون عميل من خدمة Managed WordPress، ومعيداً توجيه مواقع العملاء العشوائية نحو وجهات خبيثة بصمت. لم تصفه الشركة باعتباره اقتحاماً واحداً. بل وصفته، في إيداع لدى هيئة الأوراق المالية والبورصات الأمريكية، بأنه حملة متعددة السنوات من قِبل مجموعة قراصنة متطورة.
هذا هو ما يبدو عليه المشهد حين تتحول الشركة المملة في قاع بنيتك التقنية إلى نقطة إخفاق فردية لملايين الأشخاص الآخرين أيضاً.
لماذا تمثل شركة تسجيل واحدة نقطة إخفاق فردية لملايين العملاء
التركز هو نموذج العمل الأساسي لشركة التسجيل الموجهة للسوق الشامل. الاقتصاديات لا تعمل إلا على نطاق هائل: نظام توفير واحد، ولوحة تحكم واحدة، ومخزن بيانات اعتماد واحد، ومجموعة واحدة من خوادم الاستضافة، تخدم الجميع. هذه الكفاءة بالضبط هي ما يجعل GoDaddy مريحة — وهي بالضبط ما يجعلها خطيرة حين يتمكن مهاجم من الدخول إليها.
حين تُخترق شركة صغيرة واحدة، تعيش شركة واحدة أسبوعاً سيئاً. لكن حين تُخترق المنصة التي تحتضن نطاقات ومواقع وشهادات الملايين من الشركات، يتجاوز نطاق الضرر شركة واحدة. بل يطال كل من وثق بتلك الشركة باسمه.
هذا هو اللاتوازن الكامن في قلب مخاطر شركات التسجيل. يتعامل العميل مع GoDaddy كأنها لوحة تحكم خاصة به. أما المهاجم فيرى فيها خزنة تحتوي على ملايين المفاتيح في آنٍ واحد — وما عليك إلا كسر القفل مرة واحدة.
يستحق الأمر أن نكون دقيقين في معنى "نقطة الإخفاق الفردية" هنا، إذ تعمل على طبقتين في آنٍ واحد. الأولى هي طبقة شركة التسجيل: الجهة التي تقرر إلى أين يشير DNS نطاقك. إذا تعرضت للاختراق، يستطيع المهاجم إعادة توجيه نطاقك كاملاً — البريد الإلكتروني وكل شيء — إلى مكان آخر. والثانية هي طبقة الاستضافة والشهادات: الخوادم وبيانات الاعتماد ومفاتيح SSL التي تخدم موقعك الفعلي وتوثقه. GoDaddy واحدة من الشركات النادرة التي تجلس على الطبقتين معاً لنفس العميل في نفس الوقت. لذا حين لمس نفس المتسلل أنظمة التوفير وخوادم الاستضافة ومواد الشهادات عبر الحملة، لم يكن يتنقل بين ضحايا منفصلين. بل كان يتجول داخل شركة واحدة صادف أنها تمتلك أنواعاً مختلفة من المفاتيح لنفس الملايين من الأبواب.
الجدول الزمني: 2019 ← 2022
الجانب المقلق في قصة GoDaddy ليس أي حادثة بعينها. بل أن هذه الحوادث، حين تُفحص مجتمعة، تصطف في سياق احتلال امتد لسنوات. لم تربط GoDaddy نفسها هذه النقاط إلا بعد مرور الوقت.
أواخر 2019 / مارس 2020 — أول موطئ قدم. بعد خرق أُفصح عنه في 2020، أخطرت GoDaddy 28,000 عميل بأن مهاجماً استخدم بيانات اعتماد حسابات الاستضافة الخاصة بهم في أكتوبر 2019 للاتصال بحسابات الاستضافة عبر SSH. لم يحتج المهاجم إلى ثغرة zero-day؛ احتاج فقط إلى بيانات اعتماد، وحصل عليها. نسب التحليل الأمني لاحقاً هذه الموجة إلى الهندسة الاجتماعية — مهاجمون ينتحلون الصفة عبر الهاتف لخداع الموظفين والعملاء لتسليم حق الوصول. وكما لخصت GoDaddy لـ InformationWeek، في مارس 2020، تمكن أحد المهاجمين من اختراق بيانات اعتماد تسجيل الدخول لـ 28,000 عميل.
سبتمبر – نوفمبر 2021 — الضربة الكبرى. في 22 نوفمبر 2021، أفصحت GoDaddy عن اختراق بيئة استضافة Managed WordPress. كانت الأرقام صادمة: اكتشفت GoDaddy الحادثة في 17 نوفمبر 2021 — لكن المهاجمين كانوا يمتلكون حق الوصول منذ 6 سبتمبر 2021 على أقل تقدير. أي ما يقارب شهرين ونصف من التواجد دون كشف. وكما أفادت TechCrunch، استخدم الشخص غير المصرح له كلمة مرور مخترقة للوصول إلى أنظمة GoDaddy في حوالي 6 سبتمبر.
ديسمبر 2022 — البرمجيات الخبيثة وعمليات إعادة التوجيه. بعد عام، ظهر النمط مجدداً. تلقت GoDaddy تقارير من العملاء في أوائل ديسمبر 2022 تفيد بأن مواقعهم تُستخدم لإعادة التوجيه إلى نطاقات عشوائية. أسفر التحقيق الذي تلا ذلك عن الإفصاح في فبراير 2023 — وتبيّن أن هذا لم يكن مهاجماً جديداً، بل الحملة ذاتها التي ظلت تتكرر منذ 2020.
حين تقرأ هذا الترتيب، لا تجد ثلاثة اختراقات. بل ثلاث مشاهدات لمقيم واحد على المدى الطويل.
ما يجعل الجدول الزمني مذهلاً هو الفجوات بين هذه المشاهدات. أشهر، ثم سنة كاملة. كل حادثة بعينها، حين أُفصح عنها آنئذٍ، بدت حدثاً منفصلاً له بداية ونهاية — إعادة تعيين كلمة مرور هنا، وإعادة إصدار شهادة هناك. لم تتوقف الأحداث عن أن تبدو صدفاً وتبدأ في الظهور كنمط إلا حين تتبع محققو GoDaddy البرمجيات الخبيثة في ديسمبر 2022 عبر أدواتها وأساليبها. الجملة الأكثر إثارة للقلق في الإفصاح بأسره هي الاعتراف الهادئ بأن هذا كان يجري لسنوات قبل أن يربطه أحد.
ما الذي تعرّض للكشف — والمواقع التي انقلبت على أصحابها
يُعدّ اختراق Managed WordPress عام 2021 الحادثةَ ذات الأضرار الأوضح والأكثر قابلية للقياس. كشفت إشعار GoDaddy المودَع لدى SEC الأمر بصراحة تامة.
تعرّضت عناوين البريد الإلكتروني وأرقام العملاء لما يصل إلى 1.2 مليون عميل من خدمة Managed WordPress نشطين وغير نشطين للكشف. والأسوأ أن كلمة مرور مدير WordPress الأصلية المعيّنة وقت التوفير تعرضت للكشف — المفتاح الرئيسي لتلك التثبيتات. وبالنسبة للعملاء النشطين، كُشف عن أسماء مستخدمي sFTP وقاعدة البيانات وكلمات مرورهم، وهي بيانات الاعتماد التي تتيح لك رفع الملفات وقراءة قاعدة البيانات مباشرة. وللفئة الأكثر حساسية، كُشف عن مفتاح SSL الخاص — السر التشفيري الذي يثبت أن موقعاً ما هو فعلاً ما يدّعيه.
اجمع هذه العناصر معاً تحصل على مجموعة أدوات في أسوأ السيناريوهات. كلمة مرور المدير تمنحك الوصول إلى الموقع. وصول sFTP وقاعدة البيانات يتيح لك تعديله على مستوى الملفات والبيانات. ومفتاح SSL الخاص — كما أشارت Wordfence في تحليلها للاختراق — قد يتيح للمهاجم انتحال صفة موقع ما أو فك تشفير حركة مروره. شركة التسجيل التي من المفترض أن تكون مرساة الثقة سلّمت بدلاً من ذلك متسللاً المواد اللازمة لتزويرها.
| ما الذي تسرّب | من تأثر | ماذا يُفتح |
|---|---|---|
| البريد الإلكتروني + رقم العميل | ما يصل إلى 1.2 مليون عميل نشط وغير نشط | التصيد الموجه، ورسم خريطة الحسابات |
| كلمة مرور مدير WordPress الأصلية | العملاء المتأثرون (إذا لا تزال مستخدمة) | السيطرة الكاملة على تثبيت WordPress |
| بيانات اعتماد sFTP وقاعدة البيانات | العملاء النشطون | العبث بالموقع على مستوى الملفات وقاعدة البيانات |
| مفتاح SSL الخاص | مجموعة فرعية من العملاء النشطين | انتحال صفة الموقع، وفك تشفير حركة المرور |
نطاق الكشف يخبرك لماذا كان هذا مختلفاً نوعياً عن اختراق موقع عادي. الاختراق العادي يضر بموقع واحد. أما هنا، فقد كشف خرق واحد في نظام التوفير المشترك عن مفاتيح أكثر من مليون موقع دفعة واحدة.
ثم هناك الجانب الذي يحوّل خرق البيانات إلى شيء أكثر إيلاماً: مواقع العملاء التي بدأت تعيد توجيه الزوار إلى مواقع خبيثة. في ديسمبر 2022، تمكن طرف ثالث غير مصرح له من الوصول إلى خوادم استضافة cPanel الخاصة بنا وتثبيت برمجيات خبيثة عليها كما قالت GoDaddy، وأعادت البرمجيات الخبيثة توجيه مواقع العملاء العشوائية بصفة متقطعة إلى مواقع خبيثة. كلمتا "بصفة متقطعة" و"عشوائية" هما الكلمتان القاسيتان هنا. إعادة التوجيه التي تعمل في كل مرة سهل اكتشافها. أما إعادة التوجيه التي تعمل أحياناً، لبعض الزوار، على بعض المواقع، فهي النوع الذي يبلغ عنه صاحب العمل الصغير ثم لا يستطيع إعادة إنتاجه — ويمكن لشركة الاستضافة رفضه باعتباره مجرد خطأ عرضي. إنه تمويه مدمج في الهجوم.
كيف حدث ذلك: مفاتيح مستعارة، لا أقفال مكسورة
الدرس الأكثر إزعاجاً من قصة GoDaddy هو مدى افتقار طريقة الدخول إلى الإثارة.
لا توجد ثغرة zero-day استثنائية في قلب هذه القضية. الموجة الأولى استندت إلى بيانات اعتماد مسروقة. اختراق 2021 جرى من خلال كلمة مرور مخترقة. أطلق Krebs on Security على تحليله للحملة عنوان "حين تتسبب الاختراقات بتقنيات بسيطة في خسائر فادحة" — تحديداً لأن الأثر كان غير متناسب مع بساطة طريقة الدخول. لا حاجة لك لاختراق خزنة إذا سلّمك أحدهم المفتاح.
بمجرد الدخول، فعل المهاجم الشيء المحترف الصبور: بقي. على مدار الحملة، قالت GoDaddy إن الجهات الفاعلة ثبّتت برمجيات خبيثة على أنظمتنا وحصلت على أجزاء من الكود المتعلقة ببعض الخدمات داخل GoDaddy. الكود المصدري المسروق ليس خسارة لمرة واحدة؛ بل هو خريطة. تخبر المهاجم بكيفية عمل الأنظمة التي يعمل بداخلها فعلاً — أين تكمن نقاط الضعف، وكيف يسير تدفق المصادقة، وما الذي يجب استهدافه بعد ذلك. مقترناً بالبرمجيات الخبيثة المستمرة، هذا يمثل الفارق بين سرقة سريعة واحتلال طويل الأمد. وكما لخصت BleepingComputer استنتاج GoDaddy الخاص، تمكنت الجهات الفاعلة من تثبيت برمجيات خبيثة على أنظمة الشركة وسرقة الكود مراراً عبر السنوات.
فجوة الكشف هي النصف الآخر من القصة. شهران ونصف في حادثة 2021. سنوات على مدار الحملة بأكملها. لم يكن المهاجم أسرع من دفاعات GoDaddy بقدر ما كان أهدأ من رصدها.
الاستجابة والتداعيات
كانت الاستجابة التقنية الفورية لـ GoDaddy على اختراق 2021 هي الخطة المعتادة: إعادة تعيين كلمات مرور sFTP وقواعد البيانات المكشوفة، والبدء في إعادة إصدار وتثبيت شهادات SSL جديدة للعملاء الذين تسرّبت مفاتيحهم الخاصة. وبالنسبة للإفصاح في فبراير 2023، قالت الشركة إنها استعانت بخبراء الطب الشرعي الخارجيين وجهات إنفاذ القانون، وصفت الجهة الفاعلة بأنها مجموعة منظمة متطورة تستهدف مزودي خدمات الاستضافة — وليست فرداً انتهازياً.
لكن التداعيات السمعية والتنظيمية امتدت لما بعد مرحلة الاستجابة للحوادث. استقطبت سلسلة الاختراقات تدقيقاً من لجنة التجارة الفيدرالية الأمريكية، التي أصدرت في 2025 أمراً نهائياً ضد GoDaddy بسبب إخفاقات أمن البيانات، مدّعيةً أن الشركة أخفقت في تطبيق تدابير أمنية معقولة رغم تسويق خدماتها بضمانات أمنية، وألزمتها بإنشاء برنامج شامل لأمن المعلومات. اختراق بدأ بكلمة مرور مستعارة انتهى، بعد سنوات، بأمر اتحادي بالموافقة.
استُقبل الجدول الزمني للإفصاح بانتقادات أيضاً: لم يصبح الإطار الزمني الممتد لسنوات معلوماً للعموم إلا من خلال إيداع 10-K لدى SEC في فبراير 2023، مما يعني أن العملاء علموا بارتباط حوادث 2020 و2021 و2022 ببعضها بعد وقت طويل من الإبلاغ عن كل منها على حدة.
ثمة مشكلة مساءلة أعمق مدفونة في هذا التسلسل. كل إفصاح بمفرده دعا إلى استجابة بسيطة — تغيير كلمة مرور، قبول شهادة جديدة، والمضي قدماً. لكن العميل الذي سمع ثلاث قصص "حوادث معزولة" منفصلة لم يكن لديه وسيلة لإدراك أنه ربما يتعامل مع خصم واحد مستمر ظل قريباً من بياناته لسنوات. الإطار الذي تُقدَّم به الاختراقات يشكّل مدى جدية التعامل معها لدى المتأثرين. ثلاثة حرائق صغيرة تبدو مختلفة تماماً عن حريق واحد طويل الأمد.
ما يعلمنا إياه عن مخاطر تركز شركات التسجيل
إذا جردت القضية من تفاصيلها وجدت أن حملة GoDaddy هي نموذج تعليمي يوضح لماذا يُشكّل تركز شركات التسجيل فئة مخاطر مستقلة بذاتها.
-
المنصة هي الجائزة. لا يحتاج المهاجمون لاستهدافك. بل يستهدفون الشركة التي تمسك بك وبملايين غيرك. موقفك الأمني لا يكاد يهم إذا كان نظام التوفير في شركة تسجيلك هو الهدف اللين — ستكون من ضمن الضحايا سواء أردت أم لم ترد.
-
بيانات الاعتماد هي الباب الأمامي، لا الثغرات. تسببت كلمة مرور مخترقة في معظم الضرر هنا. المصادقة متعددة العوامل ونظافة بيانات الاعتماد والكشف العدواني عن الشذوذات تهم أكثر من أي دفاع فردي متطور — لأن نقطة الدخول دائماً تكاد تكون وصولاً مستعاراً لا قفلاً مكسوراً.
-
وقت البقاء هو المقياس الحقيقي. كشف البيانات أمر سيئ. أما مهاجم يعيش دون كشف في نظام التوفير الخاص بك لأشهر أو سنوات فهو أسوأ بكثير، لأن الاستمرارية تراكمية. الضرر دالة مدة البقاء، لا مجرد حقيقة الاختراق.
-
الأسرار المركزية هي الإخفاق المركزي. تخزين كلمات مرور المدراء وبيانات اعتماد sFTP ومفاتيح SSL الخاصة في مكان واحد قابل للاسترداد أمر مريح — حتى يتحول إلى أسوأ خسارة ممكنة في اللحظة المناسبة. حين يحتوي نفس المخزن على مفاتيح 1.2 مليون عميل، يعني اختراق واحد 1.2 مليون اختراق.
-
إعادة توجيه الموقع هي كابوس العميل، لا شركة التسجيل. حين أعادت خوادم GoDaddy توجيه مواقع العملاء إلى وجهات خبيثة، كانت علامات العملاء وعملاؤهم وترتيباتهم في محركات البحث هي من دفع الثمن — رغم أنهم لم يرتكبوا أي خطأ. مخاطر التركز هي في جوهرها خطر التضرر بسبب خطأ شخص آخر.
لا يعني شيء من هذا "لا تستخدم شركة تسجيل كبرى أبداً". الحجم يجلب استثماراً أمنياً حقيقياً، والمزودون الصغار يفشلون هم الآخرون. بل يعني ذلك أن تدرك أنك حين تسلّم نطاقك لمنصة ما، تقبل ضمنياً يومها الأسوأ باعتباره نسخة محتملة من يومك الأسوأ.
زاوية Namefi
المشكلة الأعمق التي تكشفها حملة GoDaddy ليست البرمجيات الخبيثة. بل أن ملكية النطاق والسيطرة عليه كانتا تعيشان بالكامل داخل قاعدة بيانات خاصة بمزود واحد — قاعدة بيانات ظل متسلل يستطيع لسنوات قراءتها وتعديلها وانتحال صفتها من الداخل، بينما لم يكن أصحابها الحقيقيون يملكون أي طريقة مستقلة للعلم بذلك.
Namefi مبني على افتراض مختلف: يجب أن تتصرف النطاقات كأصول أصيلة في الإنترنت، ملكيتها قابلة للتحقق ومقاومة للتلاعب، لا مجرد صف في نظام حسابات شركة واحدة لا يمكنك التأكد منه إلا بتسجيل الدخول والأمل. الملكية المرمّزة تجعل السؤال "من يتحكم فعلياً في هذا النطاق؟" قابلاً للإجابة من خارج أي مزود واحد — قابلاً للتدقيق والنقل، وأصعب للإعادة الصامتة — مع البقاء متوافقاً مع DNS بحيث يظل الاسم يُحلَّل.
هذا لا يجعل شركة التسجيل غير قابلة للاختراق. لا شيء يفعل ذلك. لكنه يغير ما يمكن للاختراق أن يفعله بصمت. حين تعيش إثبات الملكية في طبقة مستقلة قابلة للتحقق بدلاً من أن تكون حصراً داخل المنصة التي تعرضت للاختراق، تتوقف عبارة "عاش المتسلل في قاعدة البيانات لسنتين" عن أن تكون مرادفة لـ "تحكم المتسلل في من يمتلك ماذا". قصة GoDaddy هي ما يحدث حين يكون التحكم والإثبات شيئاً واحداً هشاً محتجزاً في مكان واحد. الدرس هو التوقف عن إبقائهما هناك.
المصادر وقراءات إضافية
- BleepingComputer — GoDaddy: Hackers stole source code, installed malware in multi-year breach
- BleepingComputer — GoDaddy data breach hits 1.2 million Managed WordPress customers
- Krebs on Security — When Low-Tech Hacks Cause High-Impact Breaches
- Sophos — GoDaddy admits: Crooks hit us with malware, poisoned customer websites
- The Hacker News — GoDaddy Discloses Multi-Year Security Breach Causing Malware Installations and Source Code Theft
- TechCrunch — GoDaddy says data breach exposed over a million user accounts
- SecurityWeek — GoDaddy Breach Exposes 1.2 Million Managed WordPress Customer Accounts
- InformationWeek — GoDaddy Hit with Multiyear Breach
- BankInfoSecurity — GoDaddy Confirms Breach Affects 1.2 Million Customers
- Wordfence — GoDaddy Breach — Plaintext Passwords — 1.2M Affected
- U.S. Federal Trade Commission — FTC Finalizes Order with GoDaddy over Data Security Failures
- GoDaddy (via SEC) — Notice of Security Incident, November 22, 2021
عن الكاتب/الكاتبة
أدلة ذات صلة
- الدقيقة الـ 12 دولار: لما حد اشترى Google.com بهدوء تامفي سبتمبر 2015، موظف سابق في Google اشترى google.com من خلال Google Domains بـ 12 دولار، وامتلك السيطرة الإدارية على أثمن نطاق في العالم لمدة دقيقة تقريباً. قصة سانماي فيد، ومكافأة الـ 6,006.13 دولار، وما تكشفه دقيقة واحدة من الملكية عن مَن يتحكم فعلاً في النطاق.
- Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020في 15 يوليو 2020، تمكّن مهاجمون من اختراق تويتر عن طريق مكالمة تليفونية، واستولوا على حسابات موثّقة لأوباما وبايدن وماسك وجيتس وآبل وأوبر، ونفّذوا عملية احتيال بالبيتكوين جمعوا فيها نحو 118 ألف دولار. تحليل معمّق لكيفية سرقة هوية رقمية، وما يمكن تعلّمه عن امتلاك اسم على الإنترنت.
- نداء الطوارئ EP05: اختطاف نطاقات DeFi الجماعي على Squarespace 2024في يوليو 2024، حوّلت عملية نقل نطاقات من Google Domains إلى Squarespace إعدادات المصادقة الضعيفة إلى ثغرة جماعية واسعة النطاق. استغل المهاجمون الثغرة واختطفوا نطاقات مشاريع كريبتو و DeFi كبرى — Compound Finance وCeler Network وPendle وUnstoppable Domains — وأعادوا توجيهها نحو مواقع تصيد لاستنزاف المحافظ. إليك كيف خلّفت عملية نقل "سلسة" مئات الأبواب الأمامية مفتوحة دون قفل، وما يمكننا تعلمه في مجال أمان مسجلي النطاقات والمصادقة الثنائية.
- هجوم BadgerDAO على الواجهة الأمامية: 120 مليون دولار اتسرّبت بسبب سكريبت واحد مُدرجفي ديسمبر 2021، اخترق المهاجمون حساب Cloudflare الخاص بـ BadgerDAO وحقنوا سكريبتًا خبيثًا في واجهة الموقع الأمامية. العقود الذكية المُدققة لم تُمسّ — لكن ~120 مليون دولار خرجت من الباب عبر موافقات المحافظ التي وقّعها المستخدمون دون أن يعلموا. تحليل معمّق لماذا الموقع الإلكتروني جزء من نطاق أمانك.