事件发生在8月23日,第三方能够访问用户名,散列密码,电子邮件,名字和IP地址。
未经授权的服务器访问
Hostinger 今天在一篇博客文章中提供了有关该事件的更多细节,称未经授权的一方访问了他们的一个服务器,然后能够获得对客户信息的进一步访问。
这是可能的,因为服务器具有授权令牌,允许访问和权限升级到用于查询客户及其帐户的RESTful API,包括电话号码和家庭住址或公司地址。
“API数据,包括我们的客户端用户名,电子邮件,散列密码,名字和IP地址,已被未经授权的第三方访问。包含客户数据的相应数据库表包含有1400万Hostinger用户的信息。”
密码重置操作是一项预防措施,Hostinger客户收到了有关如何重新获得其帐户访问权限的通知和详细信息。
该公司表示,财务数据和网站没有受到任何影响。Hostinger服务的付款是通过第三方提供商完成的,内部调查发现有关网站,域名,托管电子邮件的数据“保持不变且不受影响”。
设置唯一密码
散列密码是防止入侵者以明文形式获取敏感信息的好方法。但是,由于公司使用SHA1算法进行加扰,Hostinger客户端的密码可能仍然存在风险。
受此事件影响的一位Hostinger客户联系了该公司,询问用于加密密码的哈希算法。答复是数据用SHA-1进行哈希处理,现在SHA-2用于重置密码。
知名主机托管服务商Hostinger数据泄露影响了近1400万客户
SHA-1的使用时间比SHA-2长得多,并且有大量数据库,其中包含数十亿个哈希值及其原始输入(彩虹表),可用于查找密码。
攻击者使用以这种方式获取的密码进行凭据填充攻击,尝试使用其他各种服务的帐户,并希望受害者重用它们。
安全散列算法(SHA)功能很快,可以在离线破解攻击中快速计算。较慢的变体(如bcrypt)被认为更适合散列密码。
Hostinger警告说,此事件可能会被用于寻求登录详细信息,个人信息或指向恶意网站的网络钓鱼活动。
强烈建议使用每个在线服务独有的强密码。密码管理员可以安全地生成和存储它们。
Hostinger计划在不久的将来添加的一项安全功能是支持双因素身份验证(2FA)。这将确保仅用户名和密码不足以获得对帐户的访问权限。
所以小编以后决定用密码这些,密码,反正黑客这么厉害了。:
TOP 10:password1
TOP 9:homelesspa
TOP 8:1234567
TOP 7:abc123
TOP 6:12345678
TOP 5:password
TOP 4:111111
TOP 3:qwerty
TOP 2:123456789
TOP 1:123456
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
