4006-555-883

Hostinger数据泄露影响了近1400万客户

发布时间:2019-08-27 10:07:00

  主机提供商hostinger今天宣布,在最近的一次安全漏洞允许未经授权访问客户端数据库之后,它重置了1400万客户的登录密码。

  事件发生在8月23日,第三方能够访问用户名、哈希密码、电子邮件、名字和IP地址。



  未经授权的服务器访问

  霍斯廷格今天在一篇博客文章中提供了更多关于这一事件的细节,他说,一个未经授权的人访问了他们的一个服务器,然后能够进一步访问客户信息。

  这是可能的,因为服务器有一个授权令牌,允许访问和权限提升到一个RESTful API,该API用于查询客户及其帐户,包括电话号码、家庭地址或业务地址。

  “API数据库(包括我们的客户用户名、电子邮件、哈希密码、名字和IP地址)已被未经授权的第三方访问。保存客户机数据的相应数据库表包含大约1400万主机用户的信息。”

  密码重置操作是一种预防措施,主机客户端收到了有关如何重新访问其帐户的通知和详细信息。



  该公司表示,金融数据和网站没有受到任何形式的影响。托管服务的支付是通过第三方提供商完成的,内部调查发现,有关网站、域、托管电子邮件的数据“未受到影响”。

  设置唯一密码

  散列密码是防止入侵者以明文获取敏感信息的一种好方法。但是,由于该公司使用sha1算法进行加扰,主机客户端的密码可能仍然存在风险。

  一位受事件影响的主机客户联系该公司,询问有关密码加密的哈希算法。答复是数据是用sha-1散列的,现在sha-2被用于重置密码。

  sha-1的使用时间比sha-2长得多,而且有大量的数据库,其中有数十亿个哈希和它们的原始输入(彩虹表),可以用来查找密码。

  攻击者在凭证填充攻击中使用通过这种方式获得的密码,在各种其他服务的帐户上尝试这些密码,并希望受害者重用它们。

  安全散列算法(sha)函数速度快,允许在离线裂纹攻击中快速计算。较慢的变体(如bcrypt)被认为更适合散列密码。

  霍斯廷格警告说,这一事件可能是利用网络钓鱼运动寻求登录详细信息,个人信息或直接到恶意网站。

  强烈建议使用每个在线服务唯一的强密码。密码管理器可以安全地生成和存储它们。

  对这起事件的调查正在进行中,一个由内部和外部法医专家组成的小组正在调查这起事件的破口。还联系了有关部门,并通知了客户。

  hostinger计划在不久的将来添加的一个安全特性是支持双因素身份验证(2FA)。这将确保仅用户名和密码不足以访问帐户。

  (内容转载于bleepingcomputer)

最新发布
1
原来除企业网站外,这些场景全都需要SSL证书……
2
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
3
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
4
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
5
怕过期?怕麻烦?你需要SSL证书订阅模式!
6
@所有网站运营者,SSL证书过期不要慌
7
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
8
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
9
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
10
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
相关推荐
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
怕过期?怕麻烦?你需要SSL证书订阅模式!
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
@所有网站运营者,SSL证书过期不要慌
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
3分钟,我要知道SSL证书的全部信息!
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型