在周日发布的 博客文章中 ，Hostinger透露，“未经授权的第三方”违反了其中一个服务器，从而获得了与其数百万客户相关的“散列密码和其他非财务数据”。

事件发生在8月23日，当时一个不知名的黑客在公司的一台服务器上发现授权令牌并用它来访问了内部系统API，不需要输入任何用户名和密码。

在发现漏洞后，Hostinger立即限制了易受攻击的系统，使此访问权限不再可用，并与相关机构联系。

“在2019年8月23日，我们收到了信息警报，其中一个服务器已被未经授权的第三方访问，”Hostinger说。

“此服务器包含一个授权令牌，用于获取对我们的系统RESTful API Server *的进一步访问和升级权限。此API Server *用于查询有关我们客户及其帐户的详细信息。”

API数据库托管了近1400万Hostinger客户的个人信息，包括他们的用户名，电子邮件，散列密码，名字和IP地址，然而这些都被黑客访问过了。

违反影响了Hostinger用户群的一半以上

该公司拥有超过2900万用户，因此数据泄露影响了其完整用户群的一半以上。

但是，应该注意的是，该公司使用弱SHA-1散列算法来扰乱Hostinger客户端密码，使黑客更容易破解密码。

作为预防措施，该公司已使用更强大的SHA-2算法重置所有Hostinger客户端登录密码，并向受影响的消费者发送电子邮件密码恢复电子邮件。

此外，该公司目前不为其客户的帐户提供双因素身份验证（2FA），但它表示计划在不久的将来提供这一额外的安全层。

Hostinger向客户保证，由于公司从未在其服务器上存储任何支付卡或其他敏感财务数据，因此没有相信任何财务数据被访问，并补充说第三方支付需要提供商处理其服务付款。

此外，该公司还保证，从彻底的内部调查发现Hostinger客户帐户和存储在这些帐户上的数据（包括网站，域和托管电子邮件）没有被修改且不受影响。

对此事的调查仍在进行中，内部和外部取证专家和数据科学家团队已经组织会议来发现数据泄露的起因并增加公司所有业务的安全措施。

密码重置后，该公司还敦促其客户为其Hostinger帐户设置一个强大且唯一的密码，并对可疑电子邮件保持谨慎，要求他们点击链接或下载附件，以及任何要求登录的未经请求的通信详细信息或其他个人信息。

原文链接： https://thehackernews.com/2019/08/web-hosting-hostinger-breach.html

转载自安全加：http://toutiao.secjia.com/article/page?topid=111922