Hostinger dijo que el acceso no autorizado a un servidor API interno expuso contraseñas hash de 14 millones de clientes.
La empresa de alojamiento web Hostinger advierte que una violación de uno de sus servidores podría dar a los ciberdelincuentes acceso a las contraseñas hash y datos personales de más de 14 millones de clientes.
Hostinger, un popular proveedor de alojamiento de servidores privados web, en la nube y virtuales y registrador de dominios con más de 29 millones de usuarios, ha notificado a los clientes que ha restablecido todas las contraseñas después de que un tercero no autorizado obtuviera acceso a un servidor API del sistema interno. El servidor contenía contraseñas hash y otros datos no financieros sobre los clientes.
Hasta el domingo, la compañía dijo que está trabajando con equipos forenses internos y externos para analizar los registros de la red y del servidor: "Continuamos nuestra revisión interna, implementando nuevos procedimientos de seguridad y fortaleciendo la configuración del servidor y la red" , dijo en un aviso del sitio web .
Hostinger se dio cuenta por primera vez de la violación el viernes después de recibir alertas informativas de que un tercero no autorizado había accedido a uno de sus servidores.
"Este servidor contenía un token de autorización, que se utilizó para obtener más acceso y escalar privilegios a nuestro servidor RESTful API del sistema", dijo Hostinger. "Este servidor API se utiliza para consultar los detalles sobre nuestros clientes y sus cuentas".
La base de datos API incluía nombres de usuario de clientes, correos electrónicos, contraseñas hash, nombres y direcciones IP. Los investigadores dijeron que la tabla contenía la información sobre 14 millones de usuarios de Hostinger. Lo que no se ve afectado son los datos financieros, las cuentas del sitio web del cliente de Hostinger y los datos almacenados en esas cuentas (sitios web, dominios y correos electrónicos alojados).
La compañía dijo que identificó el origen del acceso no autorizado y que desde entonces se ha asegurado el sistema vulnerable.
Si bien las contraseñas estaban protegidas por el algoritmo SHA-1, ese mecanismo de protección no es 100 por ciento efectivo y se ha encontrado vulnerable a los ataques de colisión.
"Inmediatamente después del incidente de seguridad, todas las contraseñas de los usuarios de Hostinger se restablecieron utilizando el algoritmo de hash SHA-256", dijo un portavoz de Hostinger a Threatpost. "Antes del incidente de seguridad, el algoritmo de hash SHA-1 se usaba para hash contraseñas de usuario".
Si bien Hostinger ha restablecido las contraseñas de los clientes afectados, los expertos en seguridad instan a cualquier persona afectada a asegurarse de que sus contraseñas potencialmente comprometidas no se reutilicen en otro lugar, un problema que aún afecta a cientos de miles de usuarios de Internet , según un reciente estudio de Google.
Tim Erlin, vicepresidente de gestión y estrategia de productos en Tripwire, dijo a Threatpost que el incidente señala que "la reutilización de contraseñas es un problema real".
"Cuando se copian los hashes de contraseñas, el riesgo es que un atacante pueda descifrar esas contraseñas y luego usar la información para autenticarse en el servicio comprometido o en otros servicios donde se usan esas contraseñas", dijo. "Si ha utilizado la misma contraseña en varios lugares, es posible que nunca sepa cuándo o cómo se vio comprometida su contraseña".
Justin Fox, director de DevOps Engineering para NuData Security, agregó que habilitar la autenticación multifactor es una buena manera para que los proveedores de servicios mitiguen el riesgo de una contraseña comprometida.
Como recomendación se insta a los usuarios a utilizar, si el sistema lo soporta, un segundo factor de autenticación, cosa de que aunque los atacantes tengan las contraseñas le sea mas dificil ingresar a sus cuentas comprometidas.-
