000Webhost.com泄露所有客户的数据,密码以明文存储

Talos  263天前

7.jpg

5个月前,一个不知名的黑客攻击了000Webhost.com的免费网络托管服务,窃取了1300万个密码,并以2,000美元/ 1,800欧元的价格在线出售。

信息来自特洛伊·亨特(Troy Hunt),HIBP服务拥有者,如果在数据泄露期间用户的数据已在线暴露,则向用户发出警报。

五个月以来,数据泄露未引起注意

在有人联系他并将其提供给000webhost.com数据库以便他将其添加到HIBP服务之后,亨特先生遇到了这一事件。

在验证他收到的数据库文件时,Hunt先生确认它是真实的000Webhost.com数据,并采取行动通知其厂商。

在六天的时间里,他和一位《福布斯》记者无法与该公司联系或被忽视,之后,亨特先生最终在其博客上披露了这一事件,以及他经历的全部过程,以告知000Webhost违规行为。

大约22个小时前,总部位于英国的Hostinger的子公司000Webhost.com在Facebook上承认了这一事件,并采取行动重置了所有人的密码,同时也切断了对该站点的FTP访问,直到11月10日。

负责运行旧PHP版本的服务器

该公司还提供了有关该事件的详细信息,并说:“黑客使用[旧] PHP版本的漏洞将[文件]上载到服务器,从而可以访问我们的系统。“ 显然这与最近在000Webhost的网站上发现的XSS缺陷无关。

根据Hunt先生的说法,000Webhost.com还承认(当时)他们的整个客户数据库已遭到破坏,其中包含13,545,468个用户帐户。

黑客设法窃取了明文形式的客户ID,客户名称,IP地址信息,电子邮件和密码。

当000Webhost.com重设所有帐户密码时,密码重用的用户应开始更改所有其他帐户的凭据,在这些帐户中,他们使用其000Webhost.com帐户中包含的相同电子邮件或名称。

整个000Webhost.com用户数据库现在已添加到HIBP网站,在该数据库中,其排名仅次于Adobe的漏洞(1.52亿个帐户)和今年夏天以来臭名昭著的Ashely Madison漏洞(3000万个帐户)。


来源:softpedia

本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论