4006-555-883

Hostinger数据泄露影响了近1400万客户

发布时间:2019-08-27 10:07:00

  主机提供商hostinger今天宣布,在最近的一次安全漏洞允许未经授权访问客户端数据库之后,它重置了1400万客户的登录密码。

  事件发生在8月23日,第三方能够访问用户名、哈希密码、电子邮件、名字和IP地址。



  未经授权的服务器访问

  霍斯廷格今天在一篇博客文章中提供了更多关于这一事件的细节,他说,一个未经授权的人访问了他们的一个服务器,然后能够进一步访问客户信息。

  这是可能的,因为服务器有一个授权令牌,允许访问和权限提升到一个RESTful API,该API用于查询客户及其帐户,包括电话号码、家庭地址或业务地址。

  “API数据库(包括我们的客户用户名、电子邮件、哈希密码、名字和IP地址)已被未经授权的第三方访问。保存客户机数据的相应数据库表包含大约1400万主机用户的信息。”

  密码重置操作是一种预防措施,主机客户端收到了有关如何重新访问其帐户的通知和详细信息。



  该公司表示,金融数据和网站没有受到任何形式的影响。托管服务的支付是通过第三方提供商完成的,内部调查发现,有关网站、域、托管电子邮件的数据“未受到影响”。

  设置唯一密码

  散列密码是防止入侵者以明文获取敏感信息的一种好方法。但是,由于该公司使用sha1算法进行加扰,主机客户端的密码可能仍然存在风险。

  一位受事件影响的主机客户联系该公司,询问有关密码加密的哈希算法。答复是数据是用sha-1散列的,现在sha-2被用于重置密码。

  sha-1的使用时间比sha-2长得多,而且有大量的数据库,其中有数十亿个哈希和它们的原始输入(彩虹表),可以用来查找密码。

  攻击者在凭证填充攻击中使用通过这种方式获得的密码,在各种其他服务的帐户上尝试这些密码,并希望受害者重用它们。

  安全散列算法(sha)函数速度快,允许在离线裂纹攻击中快速计算。较慢的变体(如bcrypt)被认为更适合散列密码。

  霍斯廷格警告说,这一事件可能是利用网络钓鱼运动寻求登录详细信息,个人信息或直接到恶意网站。

  强烈建议使用每个在线服务唯一的强密码。密码管理器可以安全地生成和存储它们。

  对这起事件的调查正在进行中,一个由内部和外部法医专家组成的小组正在调查这起事件的破口。还联系了有关部门,并通知了客户。

  hostinger计划在不久的将来添加的一个安全特性是支持双因素身份验证(2FA)。这将确保仅用户名和密码不足以访问帐户。

  (内容转载于bleepingcomputer)

最新发布
1
客户热点问题解答 | SSL证书能否保护企业网站三级域名?
2
未履行网络安全保护义务将面临行政处罚,全站HTTPS服务为网站加上“金钟罩”
3
申请SSL证书的流程
4
服务器证书有什么作用
5
SSL证书作用:安全、专业、 信任的象征
6
服务器SSL证书选择攻略:全面考虑多方因素
7
服务器SSL证书作用:保障安全
8
ssl站点证书申请
9
ssl证书认证方法
10
如何ssl申请证书
相关推荐
SSL证书作用:安全、专业、 信任的象征
未履行网络安全保护义务将面临行政处罚,全站HTTPS服务为网站加上“金钟罩”
服务器SSL证书作用:保障安全
客户热点问题解答 | SSL证书能否保护企业网站三级域名?
服务器证书有什么作用
申请SSL证书的流程
服务器SSL证书选择攻略:全面考虑多方因素