Hostinger宣布了一项重大数据泄露事件,影响了近1400万客户,并重置了所有客户的密码作为预防措施。
Hostinger是领先的网络托管服务提供商和互联网域名注册商之一,为178个国家/地区的2900多万用户提供服务
网络犯罪分子绕过Hostinger的内部网络,并获得了对内部系统API的未授权访问,允许攻击者访问散列密码和其他一些敏感数据。
Hostinger表示,没有财务数据涉及此安全漏洞,易受攻击的系统访问已被终止。
黑客获得了内部系统访问权限
Hostinger于2019年8月23日收到警报,表示未经授权第三次访问其中一个包含授权令牌的服务器。
令牌已允许访问并将权限升级到系统RESTful API服务器,该服务器用于查询有关客户及其帐户的详细信息。
根据Hostinger新闻稿报告 “API数据库包含各种敏感客户数据,包括客户端用户名,电子邮件,散列密码,名字和IP地址,数据库表包含有关1400万Hostinger用户的信息。”
由于Hostinger使用第三方支付服务提供商为其服务的支付流程,因此没有涉及此事件的信用卡/借记卡数据等财务数据。
为了应对这一事件,该公司 重启 所有受影响客户的密码,Hostinger客户收到以下通知和有关如何再次访问其帐户的说明。
设置唯一密码
散列密码是防止入侵者以明文形式获取敏感信息的好方法。但是,由于公司使用SHA1算法进行加扰,Hostinger客户端的密码可能仍然存在风险。
受此事件影响的一位Hostinger客户联系了该公司,询问用于加密密码的哈希算法。答复是数据用SHA-1进行哈希处理,现在SHA-2用于重置密码。
SHA-1的使用时间比SHA-2长得多,并且有大量数据库,其中包含数十亿个哈希值及其原始输入(彩虹表),可用于查找密码。
攻击者使用以这种方式获取的密码进行凭据填充攻击,尝试使用其他各种服务的帐户,并希望受害者重用它们。
安全散列算法(SHA)功能很快,可以在离线破解攻击中快速计算。较慢的变体(如bcrypt)被认为更适合散列密码。
Hostinger警告说,此事件可能会被用于寻求登录详细信息,个人信息或指向恶意网站的网络钓鱼活动。
强烈建议使用每个在线服务独有的强密码。密码管理员可以安全地生成和存储它们。
对此事件的调查仍在进行中,内部和外部法医专家团队正在调查这一漏洞。还联系了当局,并通知了客户。
Hostinger计划在不久的将来添加的一项安全功能是支持双因素身份验证(2FA)。这将确保仅用户名和密码不足以获得对帐户的访问权限。
“我们已经重置了所有Hostinger客户端密码,作为最近一次安全事件后的预防措施。”读取公司网站上发布的数据泄露通知。“在此事件中,未经授权的第三方已获得对我们内部系统API的访问权限,其中一个API可以访问散列密码和其他有关我们客户的非财务数据。”
公司确定了受影响的系统并锁定了攻击者,提供商立即取消了破坏的服务器和滥用的API。
除此之外,没有其他合作伙伴的网站,域名,托管电子邮件受到影响。
来源:bleepingcomputer