Ciberdelincuentes obligan a Hostinger a restablecer 14 millones de contraseñas de usuarios
El popular proveedor de alojamiento web Hostinger, se ha visto afectado por una violación masiva de datos, como resultado de lo cual la compañía ha restablecido las contraseñas para todos los clientes como medida de precaución.
En un post publicado el domingo, Hostinger reveló que “un tercero no autorizado” vulneró uno de sus servidores y obtuvo acceso a “contraseñas hash y otros datos no financieros”, asociados con sus millones de clientes.
El incidente ocurrió el 23 de agosto cuando ciberdelincuentes encontraron un token de autorización en uno de los servidores de la compañía, y lo usaron para obtener acceso a una API del sistema interno, sin requerir ningún nombre de usuario y contraseña.
Inmediatamente después del descubrimiento del incidente, Hostinger restringió el sistema vulnerable, haciendo que este acceso ya no esté disponible, y contactó a las autoridades respectivas.
“El 23 de agosto de 2019 hemos recibido alertas informativas de que un tercero no autorizado ha accedido a uno de nuestros servidores”, dijo Hostinger.
“Este servidor contenía un token de autorización, que se utilizó para obtener más acceso y escalar privilegios a nuestro sistema RESTful API Server*. Esta API Server* se utiliza para consultar los detalles sobre nuestros clientes y sus cuentas”.
La base de datos API aloja información personal de casi 14 millones de clientes de Hostinger, incluidos sus nombres de usuario, correos electrónicos, contraseñas hash, nombres y direcciones IP, a los que han accedido los hackers.
El incidente afecta a más de la mitad de usuarios de Hostinger
La compañía tiene más de 29 millones de usuarios, por lo que la violación de datos afectó a más de la mitad de su base de usuarios completa.
Sin embargo, debe tenerse en cuenta que la compañía utilizó el débil algoritmo de hash SHA-1 para cifrar las contraseñas de los clientes de Hostinger, lo que facilita a los ciberdelincuentes descifrar las contraseñas.
Como medida de precaución, la compañía ha restablecido todas las contraseñas de inicio de sesión de clientes Hostinger utilizando el algoritmo SHA-2, este es más fuerte: la empresa ha enviado correos electrónicos de recuperación de contraseña a los clientes afectados.
Además, la compañía actualmente no ofrece autenticación de dos factores (2FA) para las cuentas de sus clientes, aunque dice que planea proporcionar esta capa adicional de seguridad en el futuro cercano.
Hostinger aseguró a sus clientes que no se cree que se haya accedido a ningún dato financiero, ya que la compañía nunca almacena ninguna tarjeta de pago u otros datos financieros confidenciales en sus servidores, y agregó que los proveedores de pagos de terceros manejan los pagos por sus servicios.
Además, la compañía también ha asegurado que una investigación interna exhaustiva encontró que las cuentas y los datos de clientes de Hostinger almacenados en esas cuentas, incluidos sitios web, dominios y correos electrónicos alojados, permanecieron intactos y no se vieron afectados.
La investigación sobre el incidente aún está en curso, y se ha reunido un equipo de expertos forenses internos y externos y científicos de datos para descubrir el origen de la violación de datos, y de esta manera aumentar las medidas de seguridad de todas las operaciones de la compañía.
Medidas de seguridad
Tras el restablecimiento de las contraseñas, la compañía también insta a sus clientes a establecer una contraseña segura y única para sus cuentas de Hostinger, y a tener cuidado con los correos electrónicos sospechosos que les piden que hagan clic en los enlaces o descarguen archivos adjuntos, así como cualquier comunicación no solicitada que requiera inicio de sesión detalles u otra información personal.
Los clientes que quieran eliminar sus datos de los servidores Hostinger, según las reglas GDPR deben comunicarse con gdpr@hostinger.com.