主机提供商hostinger今天宣布,在最近的一次安全漏洞允许未经授权访问客户端数据库之后,它重置了1400万客户的登录密码。
事件发生在8月23日,第三方能够访问用户名、哈希密码、电子邮件、名字和IP地址。
未经授权的服务器访问
霍斯廷格今天在一篇博客文章中提供了更多关于这一事件的细节,他说,一个未经授权的人访问了他们的一个服务器,然后能够进一步访问客户信息。
这是可能的,因为服务器有一个授权令牌,允许访问和权限提升到一个RESTful API,该API用于查询客户及其帐户,包括电话号码、家庭地址或业务地址。
“API数据库(包括我们的客户用户名、电子邮件、哈希密码、名字和IP地址)已被未经授权的第三方访问。保存客户机数据的相应数据库表包含大约1400万主机用户的信息。”
密码重置操作是一种预防措施,主机客户端收到了有关如何重新访问其帐户的通知和详细信息。
该公司表示,金融数据和网站没有受到任何形式的影响。托管服务的支付是通过第三方提供商完成的,内部调查发现,有关网站、域、托管电子邮件的数据“未受到影响”。
设置唯一密码
散列密码是防止入侵者以明文获取敏感信息的一种好方法。但是,由于该公司使用sha1算法进行加扰,主机客户端的密码可能仍然存在风险。
一位受事件影响的主机客户联系该公司,询问有关密码加密的哈希算法。答复是数据是用sha-1散列的,现在sha-2被用于重置密码。
sha-1的使用时间比sha-2长得多,而且有大量的数据库,其中有数十亿个哈希和它们的原始输入(彩虹表),可以用来查找密码。
攻击者在凭证填充攻击中使用通过这种方式获得的密码,在各种其他服务的帐户上尝试这些密码,并希望受害者重用它们。
安全散列算法(sha)函数速度快,允许在离线裂纹攻击中快速计算。较慢的变体(如bcrypt)被认为更适合散列密码。
霍斯廷格警告说,这一事件可能是利用网络钓鱼运动寻求登录详细信息,个人信息或直接到恶意网站。
强烈建议使用每个在线服务唯一的强密码。密码管理器可以安全地生成和存储它们。
对这起事件的调查正在进行中,一个由内部和外部法医专家组成的小组正在调查这起事件的破口。还联系了有关部门,并通知了客户。
hostinger计划在不久的将来添加的一个安全特性是支持双因素身份验证(2FA)。这将确保仅用户名和密码不足以访问帐户。
