Популярный сервис веб-хостинга 000webhost сообщил об утечке данных, приведшей к компрометации логинов, незашифрованных паролей и адресов электронной почты около 13 млн. его клиентов.
Факт компрометации был оглашен в среду Троем Хантом, Microsoft MVP for Developer Security, создателем и администратором сервиса Have I been pwned?, на страницах которого пользователи могут проверить, были ли их персональные данные опубликованы где-нибудь в Сети.
Первоначально он получил информацию от анонимного пользователя, указавшего на базу данных, содержавшую поставленную под угрозу информацию. Начав анализ того, действительно ли информация в базе является реальной, он неоднократно пытался войти в контакт с кем-то из ответственных лиц 000webhost, однако ответа так и не получил. Тогда Хант был вынужден повторить свой запрос в Twitter, попросив о помощи пользователей 000webhost. Некоторые из них подтвердили, что их адрес и пароль находятся в этой базе данных.
В конечном итоге 000webhost подтвердил утечку и сообщил, что злоумышленники использовали уязвимость в старой версии PHP, чтобы получить доступ к системе. И хотя под угрозу поставлена вся база данных, наибольшее опасение вызывает хищение данных о клиентах. Специалисты 000webhost заявили, что они посоветовали пользователям сменить все пароли и усилить их шифрование.
Далее всех пользователей 000webhost, которые попытались войти в систему, убедили сменить их пароли, которые были сброшены специалистами компании из соображений безопасности.
Однако никаких дополнительных объяснений этого происшествия или уведомлений о нарушении непосредственно пользователям отправлено не было. Хостер также замолчал тот факт, что нарушение произошло приблизительно пять месяцев назад. За столь длительный период преступники смогли поставить под угрозу различные учетные записи пользователей, использовавших одни и те же пароли для разных учетных записей.
Дальнейшее исследование показало, что некоторые другие провайдеры веб-хостинга, партнеры 000webhost, также были взломаны и украденная у них информация включена в базу данных для продажи.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.
