Populär webbhotellleverantör Ceremoni mästare har drabbats av ett enormt dataöverträdelse, som ett resultat har företaget återställt lösenord för alla kunder som en försiktighetsåtgärd.
I ett blogginlägg som publicerades på söndag avslöjade Hostinger att “obehöriga tredje parter” kränkte en av hans servrar och fick tillgång till “hashad lösenord och andra icke-finansiella data” som är associerade med miljoner kunder.
Händelsen inträffade den 23 augusti, då en okänd hackare hittade ett auktoriserings-token på en av företagets servrar och använde den för att få tillgång till det interna system-API, utan att kräva ett användarnamn och lösenord.
Omedelbart efter upptäckten av överträdelsen begränsade Hostinger det sårbara systemet, gjorde denna åtkomst inte längre tillgänglig och kontaktade respektive myndigheter.
“Den 23 augusti 2019 fick vi en informationsvarning om att en av våra servrar fick åtkomst av en obehörig tredje part,” sa Hostinger.
“Denna server innehåller ett auktoriserings-token, som används för att få ytterligare åtkomst och öka privilegierna för vårt system RESTful API Server *. Denna server API * används för att fråga information om våra klienter och deras konton.”
API-databasen innehåller personlig information från nästan 14 miljoner Hostinger-kunder, inklusive användarnamn, e-post, hash-lösenord, förnamn och IP-adresser, som har åtkomst till hackare.
Överträdelser påverkar mer än halva Hostinger-användarbasen
Företaget har mer än 29 miljoner användare, så dataöverträdelser påverkar mer än hälften av dess kompletta användarbas.
Det bör emellertid noteras att företag använder den svaga SHA-1-hashningsalgoritmen för att randomisera Hostinger-klientlösenord, vilket gör det enklare för hackare att knäcka lösenord.
Som en försiktighetsåtgärd har företaget återställt alla Hostinger Client-inloggningslösenord med en starkare SHA-2-algoritm och skickat e-postlösenordåterställningsmeddelanden till berörda konsumenter.
Dessutom erbjuder företaget för närvarande inte tvåfaktorsautentisering (2FA) för sina kundkonton, även om företaget planerar att tillhandahålla detta ytterligare säkerhetslager inom en snar framtid.
Hostinger försäkrar sina kunder att ingen ekonomisk information tros ha nåtts eftersom företaget aldrig har lagrat betalkort eller annan känslig finansiell information på sina servrar, och tillägger att tredjeparts betalningsleverantörer hanterar betalningar för sina tjänster.
Dessutom har företaget också försäkrat att en grundlig intern undersökning har funnit att Hostinger Client-kontot och de data som finns lagrade på det kontot, inklusive den webbhotell, domän och e-post, förblir orörda och opåverkade.
Undersökningar i denna fråga pågår och ett team av interna och externa kriminaltekniska experter och datavetare har samlats för att hitta ursprunget till dataöverträdelser och förbättra säkerhetsåtgärderna för all företags verksamhet.
Efter återställning av lösenordet uppmanar företaget också sina kunder att ställa in starka och unika lösenord för sina Hostinger-konton och se upp för misstänkta e-postmeddelanden som ber dem att klicka på länkar eller ladda ner bilagor, såväl som oönskad kommunikation som ber om inloggningsuppgifter, eller annan personlig information.
Kunder som vill ta bort sina uppgifter från Hostinger-servern baserat på GDPR-regler måste kontakta [email protected]
