Hostinger数据泄露影响了近1400万客户

发布时间:2019-08-27 10:07:00

  主机提供商hostinger今天宣布,在最近的一次安全漏洞允许未经授权访问客户端数据库之后,它重置了1400万客户的登录密码。

  事件发生在8月23日,第三方能够访问用户名、哈希密码、电子邮件、名字和IP地址。



  未经授权的服务器访问

  霍斯廷格今天在一篇博客文章中提供了更多关于这一事件的细节,他说,一个未经授权的人访问了他们的一个服务器,然后能够进一步访问客户信息。

  这是可能的,因为服务器有一个授权令牌,允许访问和权限提升到一个RESTful API,该API用于查询客户及其帐户,包括电话号码、家庭地址或业务地址。

  “API数据库(包括我们的客户用户名、电子邮件、哈希密码、名字和IP地址)已被未经授权的第三方访问。保存客户机数据的相应数据库表包含大约1400万主机用户的信息。”

  密码重置操作是一种预防措施,主机客户端收到了有关如何重新访问其帐户的通知和详细信息。



  该公司表示,金融数据和网站没有受到任何形式的影响。托管服务的支付是通过第三方提供商完成的,内部调查发现,有关网站、域、托管电子邮件的数据“未受到影响”。

  设置唯一密码

  散列密码是防止入侵者以明文获取敏感信息的一种好方法。但是,由于该公司使用sha1算法进行加扰,主机客户端的密码可能仍然存在风险。

  一位受事件影响的主机客户联系该公司,询问有关密码加密的哈希算法。答复是数据是用sha-1散列的,现在sha-2被用于重置密码。

  sha-1的使用时间比sha-2长得多,而且有大量的数据库,其中有数十亿个哈希和它们的原始输入(彩虹表),可以用来查找密码。

  攻击者在凭证填充攻击中使用通过这种方式获得的密码,在各种其他服务的帐户上尝试这些密码,并希望受害者重用它们。

  安全散列算法(sha)函数速度快,允许在离线裂纹攻击中快速计算。较慢的变体(如bcrypt)被认为更适合散列密码。

  霍斯廷格警告说,这一事件可能是利用网络钓鱼运动寻求登录详细信息,个人信息或直接到恶意网站。

  强烈建议使用每个在线服务唯一的强密码。密码管理器可以安全地生成和存储它们。

  对这起事件的调查正在进行中,一个由内部和外部法医专家组成的小组正在调查这起事件的破口。还联系了有关部门,并通知了客户。

  hostinger计划在不久的将来添加的一个安全特性是支持双因素身份验证(2FA)。这将确保仅用户名和密码不足以访问帐户。

  (内容转载于bleepingcomputer)

最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
疫情防控常态化,企业信息安全将同步迎来“大考”
天威诚信提醒您注意防范互联网流量劫持!
打开网站显示您与此网站建立的连接不安全怎么办?
东京奥运会被钓鱼网站攻击,如何破局?
Google再次发声,浏览器安全措施再度升级
国务院颁发信息安全条例 国密SM2算法势在必行
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
央企信息化,需要来点安全保障
互联网时代大数据云集,可是,你的数据安全吗?
年中大促来袭|SSL证书618盛惠热浪即将开启