Zwykle dostajesz to, za co płacisz, jednak w przypadku hostingu firmy 000Webhost nie płacisz, a firma utrzymuje twoją stronę na swoich serwerach.
„Ważne! Ze względu na naruszenie bezpieczeństwa musimy wstrzymać stronę
Trudno zgodzić się z twierdzeniem z regulaminu 000Webhosting, że „Zobowiązuje się do ochrony danych użytkownika” z faktem w postaci przechowywanych w postaci zwykłego tekstu haseł. Niestety nigdy nie mamy pewności jak są przechowywane nasze hasła, więc warto ustalić zasady i używać innego hasła na każdym koncie online.
31 Października 000webhost.com wysłał do wszystkich swoich użytkowników następującą wiadomość:
Dopiero wyciek 13 milionów haseł ujawnił, że 000Webhost lekkomyślnie przechowywał hasła swoich klientów w postaci zwykłego tekstu – trzeba przyjąć, że słowa takie jak hashowanie, ciąg zaburzający, czy szyfrowanie nie występują w słowniku tej firmy.
Na głównej stronie internetowej 000Webhost pojawiła się krótka wiadomość:„Ważne! Ze względu na naruszenie bezpieczeństwa musimy wstrzymać stronę
[Aby zobaczyć linki, zarejestruj się tutaj]
do czasu aż problemy zostaną usunięte. Dziękujemy za wyrozumiałość i zapraszamy później.” Według eksperta bezpieczeństwa Troya Hunta, który jako pierwszy poinformował opinię publiczną o naruszeniu ochrony danych, ostrzeżenie było wyświetlone dopiero po tym, jak spędził cały dzień, aby znaleźć kogoś w 000Webhost, kto odpowie na jego obawy, że 13 milionów danych klientów zostało skradzionych z firmy ponad pięć miesięcy wcześniej, a także na pytania o zabezpieczenia strony internetowej.
Ekspert twierdzi także, że wciąż nie otrzymał żadnego potwierdzenia od firmy, której dotyczy naruszenie, czyli 000Webhost lub jednej z siostrzanych firm Hosting24 i Hostinger. Trzeba przyjąć, że mogą mieć one podobne problemy z przechowywaniem haseł, a Troy Hunt ostrzegł administratorów, że powinni się upewnić, iż nie używają tych samych haseł na innych kontach online.
Aby zachować bezpieczeństwo każdy może wprowadzić w życie regułę „jedno hasło na jednej stronie internetowej”. Używanie tego samego hasła na wielu witrynach to gra w rosyjską ruletkę, gdzie stawką jest nasza prywatność online i nierzadko finanse. To bardzo typowe dla hakerów, którzy kradną dane z jednej strony, by następnie sprawdzić, czy mogą zalogować się na innej stronie korzystając z tych samych danych. I niestety w wielu wypadkach im się to udaje.
Internauci muszą się nauczyć, ze największym problemem nie jest hasło łatwe do zgadnięcia, ale ponowne jego wykorzystanie.
Niestety niewiele można zrobić, aby nieodpowiedzialne przedsiębiorstwa, które nie zabezpieczyły odpowiednio informacji im powierzonych, zostały ukarane. Jednocześnie można mieć pewność, że jeśli hasło zostanie skradzione z określonej usługi oraz upublicznione zyska „drugie życie” w rękach hakerów.
000Webhost nie odpowiedział Troyowi Huntowi. Jednak samemu udało mu się ustalić jak mogło dojść do tego naruszenia bezpieczeństwa – co opublikował w poście na Facebooku – haker wykorzystał lukę w starej wersji PHP. Trudno zgodzić się z twierdzeniem z regulaminu 000Webhosting, że „Zobowiązuje się do ochrony danych użytkownika” z faktem w postaci przechowywanych w postaci zwykłego tekstu haseł. Niestety nigdy nie mamy pewności jak są przechowywane nasze hasła, więc warto ustalić zasady i używać innego hasła na każdym koncie online.
31 Października 000webhost.com wysłał do wszystkich swoich użytkowników następującą wiadomość:
Cytat:What happened?Źródło: Bitdefender, 000webhost.com, własne.
A hacker used an exploit in an old PHP version, that we were using on our website, in order to gain access to our systems. Data that has been stolen includes usernames, passwords, email addresses, IP addresses and names.
Although the whole database has been compromised, we are mostly concerned about the leaked client information.
What did we do about it?
We have been aware of this issue since 27th of October and our team started to troubleshoot and resolve this issue the same day, immediately after becoming aware of this issue.
In an effort to protect our users we have temporarily blocked access to systems affected by this security flaw. We will re-enable access to the affected systems after an investigation and once all security issues have been resolved. Affected systems include our website and our members area. Additionally we have temporarily blocked FTP access, as FTP passwords have been stolen as well.
We reseted all users passwords in our systems and increased the level of encryption to prevent such issues in the future.
We are still working around the clock to identify and eliminate all security flaws. We will get back to providing the free service soon. We are also updating and patching our systems.
What do you need to do?
As all the passwords have been changed to random values, you now need to reset them when the service goes live again.
DO NOT USE YOUR PREVIOUS PASSWORD.
PLEASE ALSO CHANGE YOUR PASSWORDS IF YOU USED THE SAME PASSWORD FOR OTHER SERVICES.
We also recommend that you use Two Factor Authentication (TFA) and a different password for every service whenever possible. We can recommend the Authy authenticator app and the LastPass password manager.
We are sorry
At 000webhost we are committed to protect user information and our systems. We are sorry and sincerely apologize we didn't manage to live up to that.
At 000webhost our top priority remains the same - to provide free quality web hosting for everyone. The 000webhost community is a big family, exploring and using the possibilities of the internet together.
Our leadership team will closely monitor this issue and will do everything possible to earn your trust every day.
Sincerely,
000webhost CEO,
Arnas Stuopelis