Proveedor de alojamiento web popular Hostinger se ha visto afectada por una violación masiva de datos, como resultado de la cual la empresa ha restablecido las contraseñas de todos los clientes como medida de precaución.
En una publicación de blog publicada el domingo, Hostinger reveló que «un tercero no autorizado» violó uno de sus servidores y obtuvo acceso a «contraseñas codificadas y otros datos no financieros» asociados con sus millones de clientes.
El incidente ocurrió el 23 de agosto cuando piratas informáticos desconocidos encontraron un token de autorización en uno de los servidores de la empresa y lo usaron para obtener acceso a una API interna del sistema, sin requerir ningún nombre de usuario y contraseña.
Inmediatamente después del descubrimiento de la brecha, Hostinger restringió el sistema vulnerable, haciendo que este acceso ya no estuviera disponible, y se comunicó con las autoridades competentes.
«El 23 de agosto de 2019, recibimos alertas informativas de que un tercero no autorizado accedió a uno de nuestros servidores», dijo Hostinger.
«Este servidor contenía un token de autorización, que se usó para obtener más acceso y escalar privilegios a nuestro sistema RESTful API Server *. Este API Server * se usa para consultar los detalles sobre nuestros clientes y sus cuentas».
La base de datos API alberga información personal de casi 14 millones de clientes de Hostinger, incluidos sus nombres de usuario, correos electrónicos, contraseñas hash, nombres y direcciones IP, a los que han accedido los piratas informáticos.
Incumplimiento afecta a más de la mitad de la base de usuarios de Hostinger
La empresa tiene más de 29 millones de usuarios, por lo que la filtración de datos afectó a más de la mitad de su base de usuarios completa.
Sin embargo, debe tenerse en cuenta que la empresa usó el débil algoritmo hash SHA-1 para codificar las contraseñas de los clientes de Hostinger, lo que facilitó que los piratas informáticos descifraran las contraseñas.
Como medida de precaución, la compañía restableció todas las contraseñas de inicio de sesión de Hostinger Client utilizando el algoritmo SHA-2 más fuerte y envió correos electrónicos de recuperación de contraseña a los consumidores afectados.
Además, la empresa actualmente no ofrece autenticación de dos factores (2FA) para las cuentas de sus clientes, aunque dice que planea proporcionar esta capa adicional de seguridad en un futuro próximo.
Hostinger aseguró a sus clientes que no se cree que se haya accedido a datos financieros ya que la empresa nunca almacena ninguna tarjeta de pago u otros datos financieros confidenciales en sus servidores, y agregó que los proveedores de pagos externos manejan los pagos por sus servicios.
Además, la compañía también aseguró que una investigación interna exhaustiva encontró que las cuentas de Hostinger Client y los datos almacenados en esas cuentas, incluidos los sitios web, los dominios y los correos electrónicos alojados, permanecieron intactos y no se vieron afectados.
La investigación sobre el asunto aún está en curso, y se ha reunido un equipo de expertos forenses internos y externos y científicos de datos para descubrir el origen de la violación de datos y aumentar las medidas de seguridad de todas las operaciones de la empresa.
Luego del restablecimiento de la contraseña, la compañía también insta a sus clientes a establecer una contraseña segura y única para sus cuentas de Hostinger y a tener cuidado con los correos electrónicos sospechosos que les piden que hagan clic en los enlaces o descarguen archivos adjuntos, así como con cualquier comunicación no solicitada que solicite iniciar sesión. detalles u otra información personal.
Los clientes que deseen eliminar sus datos de los servidores de Hostinger según las reglas de GDPR deben comunicarse con gdpr@hostinger.com.
