そこにある最大の無料ウェブホスティング会社の1つである000Webhostが侵害され、巨大なデータ侵害に苦しんでいます.
少なくともの個人記録 13.5 何百万人ものユーザーが公開されています. 侵害されたデータは、次のような個人を特定できる情報で構成されます。:
- ユーザー名;
- パスワード;
- メールアドレス;
- IPアドレス;
- 苗字.
物語はフォーブスのトーマスフォックスブリュースターによって報告され、非常に恐ろしいです, 控えめに言っても. それはすべて数ヶ月前に始まりました. 3月 2015, ブリュースターはによって連絡されました トロイハント, Microsoft MVP, の発明者であり所有者は誰ですか haveibeenpwned.com – 主要なデータ侵害からの電子メールアドレスを「飲み込む」Webサイト. サービスのおかげで, ユーザーは自分も侵害されたかどうかを確認できます. MVPは、000Webhostに属すると思われるデータベースを彼に提供した匿名の情報源から連絡があったと説明しました。.
データベースには、数百万人のユーザーとそのログイン資格情報が含まれていました. 次に、2人はさまざまな電子メールをチェックして、それらが本物かどうかを判断しました。. あなたがすでに疑っていたかもしれないように, メールアドレスが有効であることが判明しました. それを決定するには, 侵害された電子メールで新しいアカウントにサインインしようとしました, 自動生成された応答を受信しました, メールはすでに使用されていると言っています.
さらに, ハント自身が自分のメールアドレスがデータベースに含まれていることを発見しました. 誰かが彼の名前でアカウントを登録しました. どうしてこれが可能だったのか不思議に思うかもしれません. 良い, 結局のところ, 000WebHostは電子メールを使用した検証を採用していません.
そう, 000WebHostは主要なユーザーデータの大惨事を確認しましたか? はい.
同社は公式Facebookページに投稿を公開しました:
→”メインサーバーでデータベースの侵害を目撃しました. ハッカーは古いPHPバージョンのエクスプロイトを使用していくつかのファイルをアップロードしました, 私たちのシステムへのアクセスを得る. データベース全体が危険にさらされていますが, 私たちは主に、漏洩したクライアント情報について懸念しています。”
000ウェブホストはまた、違反を修正するために彼らが取った行動を説明しました:
→”初めに, 違反に気づいたらすぐに、違法にアップロードされたすべてのページを削除しました. 次, 今後このような事故を避けるために、すべてのパスワードを変更し、暗号化を強化しました. 違反がもう存在しないことを確認するための徹底的な調査が進行中です。”
加えて, 彼らはユーザーにパスワードを変更するようにアドバイスしました:
→”すべてのパスワードがランダムな値に変更されたため, 今、それらをリセットする必要があります. 以前のパスワードを使用しないでください. 他の場所で同じパスワードを使用した場合は、パスワードも変更してください。”
000ウェブホストのセキュリティは不安定です
同社がセキュリティについて事前に考えていなかったという結論は当然のことです. その結論に加えて, ハントはまた、リークされたデータベースが不特定のフォーラムで販売されていた可能性があると警告しました $2,000, 彼は別の情報源から知らされたので.
ホスティング会社はまた、そのWebサイトがハッカーによって簡単に悪用される可能性のある複数のセキュリティ上の弱点を持っていたという事実に対処する必要があります. によると フォーブス, 000Webhostフォーラムは古いものを採用しました, 脆弱なプラットフォーム– vBulletinバージョン 3.8.2, でリリース 2009. プラットフォームの最新バージョンは 5.1.9. それ以来、フォーラムプラットフォームが更新されなかったのは謎です。 2009.
さらにたくさんあります. Forbesの調査によると、ユーザー名とパスワードはすべてプレーンテキストで保存されていました。, サインアップページが暗号化によって保護されていないこと. 少しでも知識のある人なら誰でも、ユーザーとサーバー間の通信を傍受できた可能性があります。.