000Webhost.com泄露所有客户的数据，密码以明文存储

5个月前，一个不知名的黑客攻击了000Webhost.com的免费网络托管服务，窃取了1300万个密码，并以2,000美元/ 1,800欧元的价格在线出售。

信息来自特洛伊·亨特（Troy Hunt），HIBP服务拥有者，如果在数据泄露期间用户的数据已在线暴露，则向用户发出警报。

五个月以来，数据泄露未引起注意

在有人联系他并将其提供给000webhost.com数据库以便他将其添加到HIBP服务之后，亨特先生遇到了这一事件。

在验证他收到的数据库文件时，Hunt先生确认它是真实的000Webhost.com数据，并采取行动通知其厂商。

在六天的时间里，他和一位《福布斯》记者无法与该公司联系或被忽视，之后，亨特先生最终在其博客上披露了这一事件，以及他经历的全部过程，以告知000Webhost违规行为。

大约22个小时前，总部位于英国的Hostinger的子公司000Webhost.com在Facebook上承认了这一事件，并采取行动重置了所有人的密码，同时也切断了对该站点的FTP访问，直到11月10日。

负责运行旧PHP版本的服务器

该公司还提供了有关该事件的详细信息，并说：“黑客使用[旧] PHP版本的漏洞将[文件]上载到服务器，从而可以访问我们的系统。“ 显然这与最近在000Webhost的网站上发现的XSS缺陷无关。

根据Hunt先生的说法，000Webhost.com还承认（当时）他们的整个客户数据库已遭到破坏，其中包含13,545,468个用户帐户。

黑客设法窃取了明文形式的客户ID，客户名称，IP地址信息，电子邮件和密码。

当000Webhost.com重设所有帐户密码时，密码重用的用户应开始更改所有其他帐户的凭据，在这些帐户中，他们使用其000Webhost.com帐户中包含的相同电子邮件或名称。

整个000Webhost.com用户数据库现在已添加到HIBP网站，在该数据库中，其排名仅次于Adobe的漏洞（1.52亿个帐户）和今年夏天以来臭名昭著的Ashely Madison漏洞（3000万个帐户）。

来源：softpedia

本文版权归原作者所有，如有侵权请联系我们及时删除