Der mehrjährige GoDaddy-Einbruch: Wie Eindringlinge drei Jahre lang im weltgrößten Registrar hausten
Zwischen 2020 und 2022 lebte eine einzelne Bedrohungsakteurgruppe in GoDaddys Infrastruktur – sie stahl Quellcode, legte die Daten von 1,2 Millionen Managed-WordPress-Kunden offen und leitete Kundenwebseiten zeitweise auf bösartige Seiten um. Eine eingehende Analyse des Konzentrationsrisikos bei Registraren und was sie über einzelne Fehlerquellen lehrt.
- domains
- security
- dns
- domain-security
Ein Domain-Registrar ist das langweiligste Unternehmen, von dem man jemals vollständig abhängig sein wird.
Man bezahlt es einmal im Jahr. Man meldet sich vielleicht zweimal an. Und im Gegenzug hält es das eine, was das eigene Unternehmen erreichbar macht: das Recht zu sagen „dieser Name zeigt hierhin." E-Mail, Website, Login, Zahlungen — jeder digitale Faden, den man besitzt, läuft durch denjenigen, der die DNS der eigenen Domain kontrolliert. Die meisten Menschen denken nach dem Checkout nie wieder an dieses Unternehmen.
Über zwei Jahre lang dachte eine ausgeklügelte Bedrohungsakteurgruppe ständig an GoDaddy. Sie lebten darin.
GoDaddy ist der größte Domain-Registrar der Erde, mit Dutzenden Millionen Kunden und weit über 80 Millionen verwalteten Domains. Und zwischen mindestens Ende 2019 und Ende 2022 glaubt GoDaddy nun, bewegte sich derselbe hartnäckige Eindringling wiederholt durch seine Systeme — er stahl Quellcode, legte die Daten von 1,2 Millionen Managed-WordPress-Kunden offen und verdrahtete an einem Punkt still und heimlich zufällige Kundenwebseiten um, sodass Besucher auf bösartige Ziele weitergeleitet wurden. Das Unternehmen beschrieb es nicht als einzelnen Einbruch. Es beschrieb in einer Einreichung bei der U.S. Securities and Exchange Commission eine mehrjährige Kampagne einer ausgeklügelten Bedrohungsakteurgruppe.
So sieht es aus, wenn das langweilige Unternehmen am Grund des eigenen Stacks sich als einzelner Fehlerknoten für Millionen anderer Menschen herausstellt.
Warum ein Registrar ein Single Point of Failure für Millionen ist
Konzentration ist das gesamte Geschäftsmodell eines Massenmarkt-Registrars. Die Wirtschaftlichkeit funktioniert nur in enormem Maßstab: ein Bereitstellungssystem, ein Kontrollzentrum, ein Credential-Speicher, ein Satz von Hosting-Servern für alle. Diese Effizienz macht GoDaddy genau so praktisch — und genau so gefährlich, wenn ein Angreifer eindringt.
Wenn ein einzelnes kleines Unternehmen gehackt wird, hat ein Unternehmen eine schlechte Woche. Wenn die Plattform, die die Domains, Websites und Zertifikate von Millionen von Unternehmen hält, gehackt wird, ist der Explosionsradius nicht mehr ein Unternehmen. Es ist jeder, der diesem Unternehmen seinen Namen anvertraut hat.
Das ist die Asymmetrie im Herzen des Registrar-Risikos. Der Kunde erlebt GoDaddy als sein eigenes privates Dashboard. Der Angreifer erlebt es als Tresor, der gleichzeitig Millionen von Schlüsseln enthält — und man muss das Schloss nur einmal knacken.
Es lohnt sich, präzise darüber zu sein, was „Single Point of Failure" hier bedeutet, denn es wirkt gleichzeitig auf zwei Ebenen. Die erste ist die Registrar-Ebene: die Behörde, die entscheidet, wohin die DNS einer Domain zeigt. Wenn diese kompromittiert ist, kann ein Angreifer die gesamte Domain — einschließlich E-Mail — woanders hinleiten. Die zweite ist die Hosting- und Zertifikatsebene: die Server, Anmeldedaten und SSL-Schlüssel, die die eigentliche Website bereitstellen und authentifizieren. GoDaddy ist eines der seltenen Unternehmen, das für denselben Kunden gleichzeitig auf beiden Ebenen sitzt. Als derselbe Eindringling also im Verlauf der Kampagne die Bereitstellungssysteme, Hosting-Server und Zertifikatsmaterial berührte, drehte er sich nicht zwischen unzusammenhängenden Opfern. Er bewegte sich innerhalb eines Unternehmens, das zufällig verschiedene Arten von Schlüsseln zu denselben Millionen von Türen hielt.
Die Zeitleiste: 2019 → 2022
Das Beunruhigende an der GoDaddy-Geschichte ist nicht ein einzelner Vorfall. Es ist, dass die Vorfälle, zusammen betrachtet, eine jahrelange Besatzung ergeben. GoDaddy selbst hat die Punkte nur im Nachhinein verbunden.
Ende 2019 / März 2020 — der erste Brückenkopf. Nach einem im Jahr 2020 offengelegten Einbruch informierte GoDaddy 28.000 Kunden, dass ein Angreifer ihre Webhosting-Kontozugangsdaten im Oktober 2019 verwendet hatte, um über SSH eine Verbindung zu ihren Hosting-Konten herzustellen. Der Angreifer benötigte keinen Zero-Day; er brauchte Anmeldedaten, und er erhielt sie. Sicherheitsberichte schrieben diese Welle später Social Engineering zu — Angreifer, die sich telefonisch ausgaben, um Mitarbeiter und Kunden dazu zu bringen, Zugänge herauszugeben. Wie GoDaddy für InformationWeek zusammenfasste: Im März 2020 kompromittierte ein Bedrohungsakteur die Anmeldedaten von 28.000 Kunden.
September–November 2021 — der große Einbruch. Am 22. November 2021 legte GoDaddy einen Einbruch in seine Managed-WordPress-Hosting-Umgebung offen. Die Zahlen waren brutal: Der Vorfall wurde von GoDaddy am 17. November 2021 entdeckt — aber die Angreifer hatten seit mindestens dem 6. September 2021 Zugang gehabt. Das sind etwa zweieinhalb Monate unentdeckter Anwesenheit. Wie TechCrunch berichtete, verwendete die unbefugte Person ein kompromittiertes Passwort, um sich etwa am 6. September Zugang zu GoDaddys Systemen zu verschaffen.
Dezember 2022 — die Malware und die Weiterleitungen. Ein Jahr später tauchte das Muster wieder auf. GoDaddy erhielt Anfang Dezember 2022 Kundenberichte, dass ihre Seiten dazu verwendet wurden, auf zufällige Domains weiterzuleiten. Die darauf folgende Untersuchung führte zur Offenlegung im Februar 2023 — und zur Erkenntnis, dass es sich nicht um einen neuen Angreifer handelte, sondern um dieselbe Kampagne, die seit 2020 immer wieder auftauchte.
In der Reihenfolge betrachtet, sind das nicht drei Einbrüche. Es sind drei Sichtungen eines langfristigen Bewohners.
Was die Zeitleiste so auffällig macht, sind die Lücken zwischen den Sichtungen. Monate, dann ein Jahr. Jeder einzelne Vorfall, zum Zeitpunkt seiner Offenlegung, sah wie ein abgegrenztes Ereignis mit Anfang und Ende aus — hier ein Passwort-Reset, dort eine Zertifikatsneuausstellung. Erst als GoDaddys Ermittler die Malware vom Dezember 2022 durch ihre Werkzeuge und Methoden zurückverfolgten, hörten die Ereignisse auf, wie Zufälle auszusehen, und begannen wie ein Muster auszusehen. Der erschreckendste Satz in der gesamten Offenlegung ist das stille Eingeständnis, dass dies seit Jahren vor sich ging, bevor jemand die Verbindung herstellte.
Was offengelegt wurde — und die Websites, die ihre Eigentümer verrieten
Der Managed-WordPress-Einbruch von 2021 ist der Vorfall mit dem klarsten und quantifiziertesten Schaden. GoDaddys eigene Mitteilung, eingereicht bei der SEC, legte ihn klar dar.
Bis zu 1,2 Millionen aktive und inaktive Managed-WordPress-Kunden hatten ihre E-Mail-Adresse und Kundennummer offengelegt. Schlimmer noch, das ursprüngliche WordPress-Admin-Passwort, das zum Zeitpunkt der Bereitstellung festgelegt worden war, wurde offengelegt — der Hauptschlüssel zu diesen WordPress-Installationen. Für aktive Kunden wurden sFTP- und Datenbank-Benutzernamen und -Passwörter offengelegt, also die Zugangsdaten, mit denen man Dateien hochladen und die Datenbank direkt lesen kann. Und für die sensibelste Teilmenge wurde der private SSL-Schlüssel offengelegt — das kryptografische Geheimnis, das beweist, dass eine Site wirklich sie selbst ist.
Zusammengenommen ergibt das ein Worst-Case-Set. Das Admin-Passwort verschafft Zugang zur Site. sFTP- und Datenbankzugang ermöglichen es, sie auf Datei- und Datenbankebene zu verändern. Und der private SSL-Schlüssel — wie Wordfence in seiner Analyse des Einbruchs feststellte — könnte einem Angreifer ermöglichen, eine Site zu imitieren oder ihren Datenverkehr zu entschlüsseln. Ein Registrar, der Vertrauen verankern soll, hatte stattdessen einem Eindringling die Mittel übergeben, um es zu fälschen.
| Was durchgesickert ist | Wer betroffen war | Was es freischaltet |
|---|---|---|
| E-Mail + Kundennummer | Bis zu 1,2 Mio. aktive und inaktive Kunden | Gezieltes Phishing, Konto-Mapping |
| Ursprüngliches WordPress-Admin-Passwort | Betroffene Kunden (falls noch in Verwendung) | Vollständige Kontrolle über die WordPress-Installation |
| sFTP + Datenbank-Zugangsdaten | Aktive Kunden | Datei- und datenbankebene Website-Manipulation |
| Privater SSL-Schlüssel | Eine Teilmenge aktiver Kunden | Site-Imitation, Verkehrs-Entschlüsselung |
Die Reichweite der Offenlegung zeigt, warum sich dies qualitativ von einem normalen Site-Hack unterschied. Ein normaler Hack kompromittiert eine Site. Hier legte ein einziger Einbruch in einem gemeinsamen Bereitstellungssystem in einem einzigen Schritt die Schlüssel zu über einer Million davon frei.
Dann gibt es den Teil, der eine Datenpanne zu etwas Eindringlichem macht: Kundenwebsites, die begannen, Besucher auf bösartige Seiten weiterzuleiten. Im Dezember 2022 verschaffte sich eine unbefugte dritte Partei Zugang zu unseren cPanel-Hosting-Servern und installierte dort Malware, erklärte GoDaddy, und die Malware leitete zeitweise zufällige Kundenwebsites auf bösartige Seiten um. „Zeitweise" und „zufällig" sind die grausamen Wörter hier. Eine Weiterleitung, die jedes Mal ausgelöst wird, ist leicht zu erkennen. Eine Weiterleitung, die manchmal ausgelöst wird, für einige Besucher, auf einigen Seiten, ist genau die Art von Sache, die ein Kleinunternehmer meldet und dann nicht reproduzieren kann — und die sein Hoster als Zufall abtun kann. Es ist eine in den Angriff eingebaute Tarnung.
Wie es geschah: geliehene Schlüssel, keine aufgebrochenen Schlösser
Die unbequemste Lektion der GoDaddy-Geschichte ist, wie unspektakulär der Einstieg war.
Es gibt keinen exotischen Zero-Day im Zentrum davon. Die erste Welle lief auf gestohlenen Zugangsdaten. Der Einbruch von 2021 lief auf einem kompromittierten Passwort. Krebs on Security titelte seine Analyse der Kampagne als „When Low-Tech Hacks Cause High-Impact Breaches" — genau weil die Auswirkungen so unverhältnismäßig zur Raffinesse des Einstiegs waren. Man muss keinen Tresor überwinden, wenn einem jemand den Schlüssel überreicht.
Einmal drin, tat der Angreifer das Geduldige, Professionelle: er blieb. Im Verlauf der Kampagne gab GoDaddy an, dass die Akteure auf unseren Systemen Malware installierten und Teile von Code im Zusammenhang mit einigen Diensten bei GoDaddy erlangten. Gestohlener Quellcode ist kein einmaliger Verlust; er ist eine Karte. Er zeigt einem Angreifer, wie die Systeme, in denen er bereits sitzt, tatsächlich funktionieren — wo die Schwachstellen sind, wie die Authentifizierung abläuft, was als nächstes anzugreifen ist. Kombiniert mit persistenter Malware ist es der Unterschied zwischen einem Einbruch-und-Raub und einer langfristigen Besatzung. Wie BleepingComputer GoDaddys eigenes Fazit zusammenfasste, konnten die Bedrohungsakteure auf den Systemen des Unternehmens Malware installieren und Code stehlen — und das über Jahre hinweg, immer wieder.
Die Erkennungslücke ist die andere Hälfte der Geschichte. Zweieinhalb Monate beim Vorfall von 2021. Jahre insgesamt über die gesamte Kampagne. Der Angreifer war nicht schneller als GoDaddys Verteidigung, sondern ruhiger als seine Überwachung.
Reaktion und Nachwirkungen
GoDaddys unmittelbare technische Reaktion auf den Einbruch von 2021 folgte dem Standardvorgehen: Zurücksetzen der offengelegten sFTP- und Datenbankpasswörter und Beginn der Neuausstellung und Installation neuer SSL-Zertifikate für die Kunden, deren private Schlüssel durchgesickert waren. Zur Offenlegung im Februar 2023 erklärte das Unternehmen, es habe externe Forensik-Experten und Strafverfolgungsbehörden eingeschaltet und den Akteur als ausgeklügelte, organisierte Gruppe charakterisiert, die auf Hosting-Anbieter abzielt — kein einsamer Opportunist.
Aber die Reputations- und Regulierungsnachwirkungen überdauerten die Reaktion auf den Vorfall. Die Serie von Einbrüchen zog die Aufmerksamkeit der U.S. Federal Trade Commission auf sich, die 2025 eine Anordnung mit GoDaddy wegen Datensicherheitsmängeln abschloss. Darin wurde behauptet, das Unternehmen habe trotz der Vermarktung seiner Dienste mit Sicherheitszusagen keine angemessene Sicherheit implementiert, und es wurde verpflichtet, ein umfassendes Informationssicherheitsprogramm aufzubauen. Ein Einbruch, der mit einem geliehenen Passwort begann, endete Jahre später als bundesbehördliche Einwilligungsanordnung.
Die Offenlegungszeitleiste selbst zog Kritik auf sich: Die mehrjährige Rahmung wurde erst durch eine SEC-10-K-Einreichung im Februar 2023 öffentlich, was bedeutete, dass Kunden lange nach der individuellen Meldung jedes Vorfalls erfuhren, dass die Vorfälle von 2020, 2021 und 2022 miteinander zusammenhingen.
Es gibt ein tieferes Rechenschaftsproblem, das in dieser Reihenfolge verborgen liegt. Jede Offenlegung für sich genommen lud zu einer kleinen Reaktion ein — ein Passwort ändern, ein neues Zertifikat akzeptieren, weitermachen. Aber ein Kunde, dem drei separate Geschichten von „isolierten Vorfällen" erzählt worden waren, hatte keine Möglichkeit zu verstehen, dass er es möglicherweise mit einem anhaltenden Gegner zu tun hatte, der jahrelang in der Nähe seiner Daten gewesen war. Die Rahmung eines Einbruchs beeinflusst, wie ernst die Menschen flussabwärts ihn nehmen. Drei kleine Brände lesen sich sehr anders als ein lang brennender.
Was dies über das Konzentrationsrisiko bei Registraren lehrt
Zieht man die Einzelheiten ab, ist die GoDaddy-Kampagne eine Lehrstunde darin, warum Registrar-Konzentration eine eigene Risikokategorie darstellt.
-
Die Plattform ist das Ziel. Angreifer müssen nicht auf Sie abzielen. Sie zielen auf das Unternehmen ab, das Sie und eine Million andere hält. Ihre eigene Sicherheitslage spielt kaum eine Rolle, wenn das Bereitstellungssystem Ihres Registrars das weiche Ziel ist — Sie erben seinen Explosionsradius, ob Sie wollen oder nicht.
-
Zugangsdaten sind die Eingangstür, keine Exploits. Ein kompromittiertes Passwort hat hier den meisten Schaden angerichtet. Multi-Faktor-Authentifizierung, Credential-Hygiene und aggressives Anomalie-Erkennen sind wichtiger als jede einzelne ausgeklügelte Verteidigung — denn der Einstiegspunkt ist fast immer geliehener Zugang, kein aufgebrochenes Schloss.
-
Verweildauer ist die eigentliche Kennzahl. Die Offenlegung von Daten ist schlimm. Ein Angreifer, der unbemerkt monatelang oder jahrelang in einem Bereitstellungssystem lebt, ist katastrophal schlimmer, weil Persistenz sich potenziert. Der Schaden ist eine Funktion davon, wie lange er bleibt, nicht nur dass er hereingekommen ist.
-
Zentralisierte Geheimnisse sind zentralisiertes Versagen. Admin-Passwörter, sFTP-Zugangsdaten und private SSL-Schlüssel an einem Ort zu speichern, abrufbar, ist bequem — bis es der schlimmste Einzelverlust ist. Wenn derselbe Speicher die Schlüssel für 1,2 Millionen Kunden hält, ist ein Einbruch 1,2 Millionen Einbrüche.
-
Die Website-Weiterleitung ist der Albtraum des Kunden, nicht des Registrars. Als GoDaddys Server Kundenwebsites auf bösartige Ziele umleiteten, bezahlten die Marken, Kunden und das SEO der Kunden den Preis — obwohl sie nichts falsch gemacht hatten. Konzentrationsrisiko ist im Wesentlichen das Risiko, durch den Fehler eines anderen geschädigt zu werden.
Das bedeutet nicht „benutze niemals einen großen Registrar." Skalierung bringt echte Sicherheitsinvestitionen mit sich, und kleine Anbieter scheitern auch. Es bedeutet zu verstehen, dass Sie, wenn Sie Ihre Domain einer Plattform übergeben, den schlimmsten Tag dieser Plattform als mögliche Version Ihres eigenen akzeptieren.
Der Namefi-Blickwinkel
Das tiefste Problem, das die GoDaddy-Kampagne aufdeckt, ist nicht Malware. Es ist, dass Eigentum und Kontrolle einer Domain vollständig innerhalb der privaten Datenbank eines einzigen Anbieters lebten — einer Datenbank, die ein Eindringling über Jahre hinweg von innen lesen, verändern und imitieren konnte, während die rechtmäßigen Eigentümer keine unabhängige Möglichkeit hatten, es zu wissen.
Namefi basiert auf einem anderen Standard: Domains sollten sich wie internet-native Vermögenswerte verhalten, deren Eigentum überprüfbar und manipulationssicher ist — nicht wie eine Zeile im Kontosystem eines einzelnen Unternehmens, die man nur durch Einloggen und Hoffen bestätigen kann. Tokenisiertes Eigentum macht die Frage „wer kontrolliert diese Domain tatsächlich?" von außerhalb eines einzelnen Anbieters beantwortbar — prüfbar, übertragbar und schwerer stillschweigend umzuschreiben — und dabei mit DNS kompatibel, sodass der Name weiterhin aufgelöst wird.
Das macht einen Registrar nicht unhackbar. Nichts tut das. Aber es verändert, was ein Einbruch still tun kann. Wenn der Eigentumsnachweis in einer überprüfbaren, unabhängigen Schicht lebt statt ausschließlich innerhalb der kompromittierten Plattform, bedeutet „der Eindringling lebte zwei Jahre in der Datenbank" nicht mehr dasselbe wie „der Eindringling kontrollierte, wem was gehört." Die GoDaddy-Geschichte zeigt, was passiert, wenn Kontrolle und Nachweis dasselbe zerbrechliche Ding sind, an einem Ort gehalten. Die Lektion ist, aufzuhören, sie dort aufzubewahren.
Quellen und weiterführende Lektüre
- BleepingComputer — GoDaddy: Hackers stole source code, installed malware in multi-year breach
- BleepingComputer — GoDaddy data breach hits 1.2 million Managed WordPress customers
- Krebs on Security — When Low-Tech Hacks Cause High-Impact Breaches
- Sophos — GoDaddy admits: Crooks hit us with malware, poisoned customer websites
- The Hacker News — GoDaddy Discloses Multi-Year Security Breach Causing Malware Installations and Source Code Theft
- TechCrunch — GoDaddy says data breach exposed over a million user accounts
- SecurityWeek — GoDaddy Breach Exposes 1.2 Million Managed WordPress Customer Accounts
- InformationWeek — GoDaddy Hit with Multiyear Breach
- BankInfoSecurity — GoDaddy Confirms Breach Affects 1.2 Million Customers
- Wordfence — GoDaddy Breach — Plaintext Passwords — 1.2M Affected
- U.S. Federal Trade Commission — FTC Finalizes Order with GoDaddy over Data Security Failures
- GoDaddy (via SEC) — Notice of Security Incident, November 22, 2021
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.