13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting
#1
Zwykle dostajesz to, za co płacisz, jednak w przypadku hostingu firmy 000Webhost nie płacisz, a firma utrzymuje twoją stronę na swoich serwerach.
                Dopiero wyciek 13 milionów haseł ujawnił, że 000Webhost lekkomyślnie przechowywał hasła swoich klientów w postaci zwykłego tekstu – trzeba przyjąć, że słowa takie jak hashowanie, ciąg zaburzający, czy szyfrowanie nie występują w słowniku tej firmy.
                Na głównej stronie internetowej 000Webhost pojawiła się krótka wiadomość:
   

„Ważne! Ze względu na naruszenie bezpieczeństwa musimy wstrzymać stronę

[Aby zobaczyć linki, zarejestruj się tutaj]

do czasu aż problemy zostaną usunięte. Dziękujemy za wyrozumiałość i zapraszamy później.”


                Według eksperta bezpieczeństwa Troya Hunta, który jako pierwszy poinformował opinię publiczną o naruszeniu ochrony danych, ostrzeżenie było wyświetlone dopiero po tym, jak spędził cały dzień, aby znaleźć kogoś w 000Webhost, kto odpowie na jego obawy, że 13 milionów danych klientów zostało skradzionych z firmy ponad pięć miesięcy wcześniej, a także na pytania o zabezpieczenia strony internetowej.

                Ekspert twierdzi także, że wciąż nie otrzymał żadnego potwierdzenia od firmy, której dotyczy naruszenie, czyli 000Webhost lub jednej z siostrzanych firm Hosting24 i Hostinger. Trzeba przyjąć, że mogą mieć one podobne problemy z przechowywaniem haseł, a Troy Hunt ostrzegł administratorów, że powinni się upewnić, iż nie używają tych samych haseł na innych kontach online.

                Aby zachować bezpieczeństwo każdy może wprowadzić w życie regułę „jedno hasło na jednej stronie internetowej”. Używanie tego samego hasła na wielu witrynach to gra w rosyjską ruletkę, gdzie stawką jest nasza prywatność online i nierzadko finanse. To bardzo typowe dla hakerów, którzy kradną dane z jednej strony, by następnie sprawdzić, czy mogą zalogować się na innej stronie korzystając z tych samych danych. I niestety w wielu wypadkach im się to udaje.

                Internauci muszą się nauczyć, ze największym problemem nie jest hasło łatwe do zgadnięcia, ale ponowne jego wykorzystanie.

                Niestety niewiele można zrobić, aby nieodpowiedzialne przedsiębiorstwa, które nie zabezpieczyły odpowiednio informacji im powierzonych, zostały ukarane. Jednocześnie można mieć pewność, że jeśli hasło zostanie skradzione z określonej usługi oraz upublicznione zyska „drugie życie” w rękach hakerów.
                000Webhost nie odpowiedział Troyowi Huntowi. Jednak samemu udało mu się ustalić jak mogło dojść do tego naruszenia bezpieczeństwa – co opublikował w poście na Facebooku – haker wykorzystał lukę w starej wersji PHP. 
   

Trudno zgodzić się z twierdzeniem z regulaminu 000Webhosting, że „Zobowiązuje się do ochrony danych użytkownika” z faktem w postaci przechowywanych w postaci zwykłego tekstu haseł. Niestety nigdy nie mamy pewności jak są przechowywane nasze hasła, więc warto ustalić zasady i używać innego hasła na każdym koncie online.

31 Października 000webhost.com wysłał do wszystkich swoich użytkowników następującą wiadomość:
Cytat:What happened?
A hacker used an exploit in an old PHP version, that we were using on our website, in order to gain access to our systems. Data that has been stolen includes usernames, passwords, email addresses, IP addresses and names.
Although the whole database has been compromised, we are mostly concerned about the leaked client information.

What did we do about it?
We have been aware of this issue since 27th of October and our team started to troubleshoot and resolve this issue the same day, immediately after becoming aware of this issue.
In an effort to protect our users we have temporarily blocked access to systems affected by this security flaw. We will re-enable access to the affected systems after an investigation and once all security issues have been resolved. Affected systems include our website and our members area. Additionally we have temporarily blocked FTP access, as FTP passwords have been stolen as well.
We reseted all users passwords in our systems and increased the level of encryption to prevent such issues in the future.
We are still working around the clock to identify and eliminate all security flaws. We will get back to providing the free service soon. We are also updating and patching our systems.

What do you need to do?
As all the passwords have been changed to random values, you now need to reset them when the service goes live again.
DO NOT USE YOUR PREVIOUS PASSWORD.
PLEASE ALSO CHANGE YOUR PASSWORDS IF YOU USED THE SAME PASSWORD FOR OTHER SERVICES.

We also recommend that you use Two Factor Authentication (TFA) and a different password for every service whenever possible. We can recommend the Authy authenticator app and the LastPass password manager.

We are sorry
At 000webhost we are committed to protect user information and our systems. We are sorry and sincerely apologize we didn't manage to live up to that.
At 000webhost our top priority remains the same - to provide free quality web hosting for everyone. The 000webhost community is a big family, exploring and using the possibilities of the internet together.
Our leadership team will closely monitor this issue and will do everything possible to earn your trust every day.

Sincerely,
000webhost CEO,
Arnas Stuopelis
Źródło: Bitdefender, 000webhost.com, własne.
Odpowiedz
#2
Kiedyś musi być pierwszy raz. W związku, że na 000webhost oraz w Microsoft, miałem to samo hasło, dzisiaj była próba przejęcia mojego konta właśnie w Microsoft. Smile
   
Odpowiedz
#3
Pewnie ucieszyłeś się niezwykle? Smile
A trzeba było mieć inne hasło...huehue Grin
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
I to dopiero początek, dzisiaj zostało przejęte konto w Gmail oraz w Yahoo mail. Smile Zawsze się myśli "a kto mi będzie chciał sie włamać na konto i w jakim celu" a tutaj proszę... Smile Jak na razie, wszystkie konta udaje mi się odzyskiwać. Smile
Odpowiedz
#5
(07.11.2015, 12:04)Mikołaj napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

I to dopiero początek, dzisiaj zostało przejęte konto w Gmail oraz w Yahoo mail. Smile Zawsze się myśli "a kto mi będzie chciał sie włamać na konto i w jakim celu" a tutaj proszę... Smile Jak na razie, wszystkie konta udaje mi się odzyskiwać. Smile

Nie masz aktywnej weryfikacji dwuetapowej na gmailu?Grin
SpyShelter Firewall + EMSISOFT Internet Security + McAfee WebAdvisor
Odpowiedz
#6
Mam i to mnie uratowało. Smile
Odpowiedz
#7
Czy to się mi kiedyś skończy... ktoś mi zmienił hasło w Linkedin i próbował skasować tam konto...
Z Allegro to samo. Grin
Odpowiedz
#8
Również miałem u nich konto... jakie hasło, tego nie pamiętam, ale możliwe, że wtedy nie korzystałem z żadnego menadżera Grin
Jak na razie nie zauważyłem prób ataków na jakieś z usług, zresztą gdzie się da jest uruchomione two-step, a hasła dłuuugie i losowe.
Odpowiedz
#9
Właśnie usunąłem konto na Amazon, z tego samego powodu, gdyż już było za późno na zmianę hasła, bo adres e-mail został zmieniony. Smile
Odpowiedz
#10
Lol to jak mogłeś osunąć konto na amazon nie mając dostępu.... Grin
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#11
Za pomocą pomocy technicznej, musiałem podać nr IP, aby mogli zweryfikować ostatnie logowanie na moje konto.
Odpowiedz
#12
A no tak spoko.. myślałem żę bez suportu -,-
W tym wypadku stale IP staje sie bardzo cenną zaletą
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości