Une des plus grandes sociétés d'hébergement Web gratuits là-bas - 000webhost - a été compromise et a subi une violation de données gigantesque.
Les dossiers personnels d'au moins 13.5 millions de ses utilisateurs ont été exposés. données Compromis comprend des informations personnelles identifiables telles que:
- Usernames;
- Les mots de passe;
- Les adresses de courriel;
- adresses IP;
- Noms de famille.
L'histoire a été rapportée par Thomas Fox-Brewster de Forbes et est tout à fait horribles, pour dire le moins. Tout a commencé il y a plusieurs mois. En mars 2015, Brewster a été contacté par Troy Hunt, MVP Microsoft, qui est l'inventeur et propriétaire de haveibeenpwned.com – un site Web qui email les adresses 'hirondelles des principales violations de données. Merci au service, les utilisateurs peuvent vérifier si elles avaient été violées trop. Le MVP a expliqué qu'il avait été atteint par une source anonyme qui lui a donné une base de données appartenant soi-disant pour 000webhost.
La base de données comprenait des millions d'utilisateurs et leurs informations de connexion. Les deux, puis vérifié divers e-mails afin de déterminer si elles étaient réelles ou non. Comme vous avez pu déjà soupçonné, les adresses e-mail avéré être valide. Pour déterminer que, ils ont tenté de se connecter de nouveaux comptes avec les e-mails contrevenait à, et reçu des réponses générées automatiquement, dire que les e-mails étaient déjà en cours d'utilisation.
En outre, Hunt lui a découvert que son adresse e-mail a été inclus dans la base de données. Quelqu'un avait enregistré un compte en son nom. Vous pouvez vous demander comment cela était possible. Bien, comme il est apparu, 000WebHost n'a pas employé aucune validation en utilisant l'e-mail.
Si, ne 000webhost confirmer la grande catastrophe de données utilisateur? Oui.
La société a publié un message sur sa page officielle Facebook:
→”Nous avons assisté à une violation de la base de données sur notre serveur principal. Un pirate a utilisé un exploit dans l'ancienne version de PHP pour télécharger des fichiers, avoir accès à nos systèmes. Bien que l'ensemble de la base de données a été compromise, nous sommes surtout préoccupés par les informations client fuite.”
000Webhost a également expliqué quelles mesures ils ont pris pour réparer la brèche:
→”Tout d'abord, nous avons supprimé toutes les pages téléchargées illégalement dès que nous avons pris conscience de la violation. Suivant, nous avons changé tous les mots de passe et augmenté leur cryptage pour éviter de tels incidents à l'avenir. Une enquête approfondie pour vous assurer que la violation n'existe plus est en cours.”
En outre, ils ont conseillé à leurs utilisateurs de changer leurs mots de passe:
→”Comme tous les mots de passe ont été changés pour des valeurs aléatoires, vous devez maintenant les réinitialiser. NE PAS UTILISER VOTRE MOT DE PASSE PRÉCÉDENT. S'IL VOUS PLAÎT CHANGER AUSSI VOS MOTS DE PASSE Si vous utilisez le même mot de passe partout ailleurs.”
000Sécurité de Webhost est Shaky
La conclusion que l'entreprise n'a pas pensé à sa sécurité à l'avance est naturel. En plus de cette conclusion, Hunt a également averti que la base de données de fuite peut avoir été mis en vente sur les forums non spécifiés pour $2,000, comme il a été informé par une autre source.
La société d'hébergement devra également tenir compte du fait que son site portait plusieurs failles de sécurité qui pourraient être facilement exploitées par des pirates. Selon Forbes, le forum 000webhost utilisé un vieux, plateforme vulnérable - vBulletin Version 3.8.2, sorti en 2009. La dernière version de la plate-forme est 5.1.9. Il est un mystère pourquoi la plate-forme de forum n'a pas été mis à jour depuis 2009.
Il y a encore plus. Les recherches menées par Forbes a révélé que les noms d'utilisateur et mots de passe sont tous stockés dans le texte brut, et que la page d'inscription n'a pas été protégé par un cryptage. Toute personne ayant la moindre connaissance aurait pu intercepter la communication entre l'utilisateur et le serveur.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: