O popular provedor de hospedagem web Hostinger foi atingido por uma enorme violação de dados, e por isso a empresa redefiniu senhas para todos os clientes como medida de precaução.
Em um post publicado no domingo, a Hostinger revelou que “um terceiro não autorizado” violou um de seus servidores e obteve acesso a “senhas com hash e outros dados não financeiros” associados a seus milhões de clientes.
O incidente ocorreu em 23 de agosto, quando hackers desconhecidos encontraram um token de autorização em um dos servidores da empresa e o usaram para obter acesso a uma API interna do sistema, sem precisar de nenhum nome de usuário e senha.
Imediatamente após a descoberta da violação, a Hostinger restringiu o sistema vulnerável, tornando esse acesso não mais disponível, e contatou as respectivas autoridades.
“Em 23 de agosto de 2019, recebemos alertas informativos de que um de nossos servidores foi acessado por terceiros não autorizados”, disse a Hostinger.
“Este servidor continha um token de autorização, que foi usado para obter mais acesso e escalar privilégios para o nosso servidor RESTful API Server *. Este servidor de API * é usado para consultar os detalhes sobre nossos clientes e suas contas.”
O banco de dados da API hospeda informações pessoais de quase 14 milhões de clientes da Hostinger, incluindo seus nomes de usuário, e-mails, senhas, primeiros nomes e endereços IP, que foram acessados por hackers.
A violação afeta mais da metade da base de usuários da Hostinger
A empresa tem mais de 29 milhões de usuários, portanto a violação de dados afetou mais da metade de sua base de usuários completa.
No entanto, deve-se notar que a empresa usou o algoritmo hash SHA-1 fraco para codificar as senhas do cliente Hostinger, tornando mais fácil para os hackers decifrarem as senhas.
Como medida de precaução, a empresa redefiniu todas as senhas de login do Hostinger Client usando o algoritmo SHA-2 mais forte e enviou e-mails de recuperação de senha para os consumidores afetados.
Além disso, a empresa atualmente não oferece autenticação de dois fatores (2FA) para as contas de seus clientes, embora diga que está planejando fornecer essa camada adicional de segurança em um futuro próximo.
A Hostinger assegurou a seus clientes que não se acredita que nenhum dado financeiro tenha sido acessado, uma vez que a empresa nunca armazena nenhum cartão de pagamento ou outros dados financeiros confidenciais em seus servidores, acrescentando que provedores de pagamento terceirizam pagamentos por seus serviços.
Além disso, a empresa também garantiu que uma investigação interna minuciosa concluiu que as contas e os dados do Hostinger Client armazenados nessas contas, incluindo sites, domínios e e-mails hospedados, permaneceram inalterados e não afetados.
A investigação sobre o assunto ainda está em andamento, e uma equipe de especialistas forenses internos e externos e cientistas de dados foi reunida para descobrir a origem da violação de dados e aumentar as medidas de segurança de todas as operações da empresa.
Após a redefinição da senha, a empresa também pede que seus clientes definam uma senha forte e exclusiva para suas contas da Hostinger e sejam cautelosos com e-mails suspeitos pedindo que eles cliquem nos links ou anexos de download, bem como qualquer comunicação não solicitada pedindo login, detalhes ou outras informações pessoais.
Os clientes que desejam excluir seus detalhes dos servidores Hostinger sob as regras GDPR devem entrar em contato com gdpr@hostinger.com .