Hostinger遭數(shù)據(jù)泄露-為1400萬用戶重置密碼
責(zé)編:gltian |2019-08-30 11:08:10在周日發(fā)布的?博客文章中?,Hostinger透露,“未經(jīng)授權(quán)的第三方”違反了其中一個服務(wù)器,從而獲得了與其數(shù)百萬客戶相關(guān)的“散列密碼和其他非財務(wù)數(shù)據(jù)”。
事件發(fā)生在8月23日,當(dāng)時一個不知名的黑客在公司的一臺服務(wù)器上發(fā)現(xiàn)授權(quán)令牌并用它來訪問了內(nèi)部系統(tǒng)API,不需要輸入任何用戶名和密碼。
在發(fā)現(xiàn)漏洞后,Hostinger立即限制了易受攻擊的系統(tǒng),使此訪問權(quán)限不再可用,并與相關(guān)機(jī)構(gòu)聯(lián)系。
“在2019年8月23日,我們收到了信息警報,其中一個服務(wù)器已被未經(jīng)授權(quán)的第三方訪問,”Hostinger說。
“此服務(wù)器包含一個授權(quán)令牌,用于獲取對我們的系統(tǒng)RESTful API Server *的進(jìn)一步訪問和升級權(quán)限。此API Server *用于查詢有關(guān)我們客戶及其帳戶的詳細(xì)信息。”
API數(shù)據(jù)庫托管了近1400萬Hostinger客戶的個人信息,包括他們的用戶名,電子郵件,散列密碼,名字和IP地址,然而這些都被黑客訪問過了。
違反影響了Hostinger用戶群的一半以上
該公司擁有超過2900萬用戶,因此數(shù)據(jù)泄露影響了其完整用戶群的一半以上。
但是,應(yīng)該注意的是,該公司使用弱SHA-1散列算法來擾亂Hostinger客戶端密碼,使黑客更容易破解密碼。
作為預(yù)防措施,該公司已使用更強(qiáng)大的SHA-2算法重置所有Hostinger客戶端登錄密碼,并向受影響的消費(fèi)者發(fā)送電子郵件密碼恢復(fù)電子郵件。
此外,該公司目前不為其客戶的帳戶提供雙因素身份驗證(2FA),但它表示計劃在不久的將來提供這一額外的安全層。
Hostinger向客戶保證,由于公司從未在其服務(wù)器上存儲任何支付卡或其他敏感財務(wù)數(shù)據(jù),因此沒有相信任何財務(wù)數(shù)據(jù)被訪問,并補(bǔ)充說第三方支付需要提供商處理其服務(wù)付款。
此外,該公司還保證,從徹底的內(nèi)部調(diào)查發(fā)現(xiàn)Hostinger客戶帳戶和存儲在這些帳戶上的數(shù)據(jù)(包括網(wǎng)站,域和托管電子郵件)沒有被修改且不受影響。
對此事的調(diào)查仍在進(jìn)行中,內(nèi)部和外部取證專家和數(shù)據(jù)科學(xué)家團(tuán)隊已經(jīng)組織會議來發(fā)現(xiàn)數(shù)據(jù)泄露的起因并增加公司所有業(yè)務(wù)的安全措施。
密碼重置后,該公司還敦促其客戶為其Hostinger帳戶設(shè)置一個強(qiáng)大且唯一的密碼,并對可疑電子郵件保持謹(jǐn)慎,要求他們點擊鏈接或下載附件,以及任何要求登錄的未經(jīng)請求的通信詳細(xì)信息或其他個人信息。
原文鏈接:?https://thehackernews.com/2019/08/web-hosting-hostinger-breach.html
轉(zhuǎn)載自安全加:http://toutiao.secjia.com/article/page?topid=111922
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧