+- SafeGroup (https://safegroup.pl)
+-- Dział: Publikacje (https://safegroup.pl/forum-27.html)
+--- Dział: Aktualności (https://safegroup.pl/forum-28.html)
+--- Wątek: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting (/thread-9774.html)
13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 02.11.2015
Zwykle dostajesz to, za co płacisz, jednak w przypadku hostingu firmy 000Webhost nie płacisz, a firma utrzymuje twoją stronę na swoich serwerach.
Dopiero wyciek 13 milionów haseł ujawnił, że 000Webhost lekkomyślnie przechowywał hasła swoich klientów w postaci zwykłego tekstu – trzeba przyjąć, że słowa takie jak hashowanie, ciąg zaburzający, czy szyfrowanie nie występują w słowniku tej firmy.
Na głównej stronie internetowej 000Webhost pojawiła się krótka wiadomość:[attachment=766]
„Ważne! Ze względu na naruszenie bezpieczeństwa musimy wstrzymać stronę
[Aby zobaczyć linki, zarejestruj się tutaj]
do czasu aż problemy zostaną usunięte. Dziękujemy za wyrozumiałość i zapraszamy później.” Według eksperta bezpieczeństwa Troya Hunta, który jako pierwszy poinformował opinię publiczną o naruszeniu ochrony danych, ostrzeżenie było wyświetlone dopiero po tym, jak spędził cały dzień, aby znaleźć kogoś w 000Webhost, kto odpowie na jego obawy, że 13 milionów danych klientów zostało skradzionych z firmy ponad pięć miesięcy wcześniej, a także na pytania o zabezpieczenia strony internetowej.
Ekspert twierdzi także, że wciąż nie otrzymał żadnego potwierdzenia od firmy, której dotyczy naruszenie, czyli 000Webhost lub jednej z siostrzanych firm Hosting24 i Hostinger. Trzeba przyjąć, że mogą mieć one podobne problemy z przechowywaniem haseł, a Troy Hunt ostrzegł administratorów, że powinni się upewnić, iż nie używają tych samych haseł na innych kontach online.
Aby zachować bezpieczeństwo każdy może wprowadzić w życie regułę „jedno hasło na jednej stronie internetowej”. Używanie tego samego hasła na wielu witrynach to gra w rosyjską ruletkę, gdzie stawką jest nasza prywatność online i nierzadko finanse. To bardzo typowe dla hakerów, którzy kradną dane z jednej strony, by następnie sprawdzić, czy mogą zalogować się na innej stronie korzystając z tych samych danych. I niestety w wielu wypadkach im się to udaje.
Internauci muszą się nauczyć, ze największym problemem nie jest hasło łatwe do zgadnięcia, ale ponowne jego wykorzystanie.
Niestety niewiele można zrobić, aby nieodpowiedzialne przedsiębiorstwa, które nie zabezpieczyły odpowiednio informacji im powierzonych, zostały ukarane. Jednocześnie można mieć pewność, że jeśli hasło zostanie skradzione z określonej usługi oraz upublicznione zyska „drugie życie” w rękach hakerów.
000Webhost nie odpowiedział Troyowi Huntowi. Jednak samemu udało mu się ustalić jak mogło dojść do tego naruszenia bezpieczeństwa – co opublikował w poście na Facebooku – haker wykorzystał lukę w starej wersji PHP. [attachment=767]
Trudno zgodzić się z twierdzeniem z regulaminu 000Webhosting, że „Zobowiązuje się do ochrony danych użytkownika” z faktem w postaci przechowywanych w postaci zwykłego tekstu haseł. Niestety nigdy nie mamy pewności jak są przechowywane nasze hasła, więc warto ustalić zasady i używać innego hasła na każdym koncie online.
31 Października 000webhost.com wysłał do wszystkich swoich użytkowników następującą wiadomość:
Cytat:What happened?Źródło: Bitdefender, 000webhost.com, własne.
A hacker used an exploit in an old PHP version, that we were using on our website, in order to gain access to our systems. Data that has been stolen includes usernames, passwords, email addresses, IP addresses and names.
Although the whole database has been compromised, we are mostly concerned about the leaked client information.
What did we do about it?
We have been aware of this issue since 27th of October and our team started to troubleshoot and resolve this issue the same day, immediately after becoming aware of this issue.
In an effort to protect our users we have temporarily blocked access to systems affected by this security flaw. We will re-enable access to the affected systems after an investigation and once all security issues have been resolved. Affected systems include our website and our members area. Additionally we have temporarily blocked FTP access, as FTP passwords have been stolen as well.
We reseted all users passwords in our systems and increased the level of encryption to prevent such issues in the future.
We are still working around the clock to identify and eliminate all security flaws. We will get back to providing the free service soon. We are also updating and patching our systems.
What do you need to do?
As all the passwords have been changed to random values, you now need to reset them when the service goes live again.
DO NOT USE YOUR PREVIOUS PASSWORD.
PLEASE ALSO CHANGE YOUR PASSWORDS IF YOU USED THE SAME PASSWORD FOR OTHER SERVICES.
We also recommend that you use Two Factor Authentication (TFA) and a different password for every service whenever possible. We can recommend the Authy authenticator app and the LastPass password manager.
We are sorry
At 000webhost we are committed to protect user information and our systems. We are sorry and sincerely apologize we didn't manage to live up to that.
At 000webhost our top priority remains the same - to provide free quality web hosting for everyone. The 000webhost community is a big family, exploring and using the possibilities of the internet together.
Our leadership team will closely monitor this issue and will do everything possible to earn your trust every day.
Sincerely,
000webhost CEO,
Arnas Stuopelis
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 05.11.2015
Kiedyś musi być pierwszy raz. W związku, że na 000webhost oraz w Microsoft, miałem to samo hasło, dzisiaj była próba przejęcia mojego konta właśnie w Microsoft.
[attachment=775]
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - ichito - 06.11.2015
Pewnie ucieszyłeś się niezwykle?
A trzeba było mieć inne hasło...huehue
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 07.11.2015
I to dopiero początek, dzisiaj zostało przejęte konto w Gmail oraz w Yahoo mail.
Zawsze się myśli "a kto mi będzie chciał sie włamać na konto i w jakim celu" a tutaj proszę... Jak na razie, wszystkie konta udaje mi się odzyskiwać.
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - gravity1287 - 07.11.2015
(07.11.2015, 12:04)Mikołaj napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
I to dopiero początek, dzisiaj zostało przejęte konto w Gmail oraz w Yahoo mail.
Nie masz aktywnej weryfikacji dwuetapowej na gmailu?
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 10.11.2015
Mam i to mnie uratowało.
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 17.11.2015
Czy to się mi kiedyś skończy... ktoś mi zmienił hasło w Linkedin i próbował skasować tam konto...
Z Allegro to samo.
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Konto usunięte - 17.11.2015
Również miałem u nich konto... jakie hasło, tego nie pamiętam, ale możliwe, że wtedy nie korzystałem z żadnego menadżera
Jak na razie nie zauważyłem prób ataków na jakieś z usług, zresztą gdzie się da jest uruchomione two-step, a hasła dłuuugie i losowe.
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 23.11.2015
Właśnie usunąłem konto na Amazon, z tego samego powodu, gdyż już było za późno na zmianę hasła, bo adres e-mail został zmieniony.
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Quassar - 23.11.2015
Lol to jak mogłeś osunąć konto na amazon nie mając dostępu....
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Mikołaj - 23.11.2015
Za pomocą pomocy technicznej, musiałem podać nr IP, aby mogli zweryfikować ostatnie logowanie na moje konto.
RE: 13 milionów haseł wyciekło z firmy oferującej bezpłatny webhosting - Quassar - 24.11.2015
A no tak spoko.. myślałem żę bez suportu -,-
W tym wypadku stale IP staje sie bardzo cenną zaletą