Hostinger restableció las contraseñas de 29 millones de clientes en 178 países como medida de seguridad preventiva después de que se detectara la infracción, el 22 de agosto de 2019.
Un intruso tuvo acceso a la API del sistema interno de Hostinger, lo que desencadenó una alerta que se envió a la empresa de alojamiento web. El servidor roto contenía un token de autorización, que se utilizaba para obtener más acceso y para escalar privilegios al servidor RESTful API de Hostinger, que se utilizaba para consultar información relacionada con los clientes y sus cuentas.
No se accedió a información financiera, durante el ataque, pero una base de datos que contenía contraseñas, direcciones de correo electrónico y nombres de usuario de clientes se vio comprometida. Hasta 14 millones de cuentas pueden haber sido afectadas.
Hostinger, que opera desde Kaunas, Lituania, encripta las contraseñas de los clientes utilizando una función matemática unidireccional, que cambia la contraseña que el cliente haya elegido en una secuencia aleatoria de caracteres.
Se ha aconsejado a los clientes de la empresa de alojamiento web que elijan contraseñas seguras que no se utilicen en ningún otro lugar y que desconfíen de cualquier comunicación no solicitada que solicite información personal.
Para aumentar la seguridad de los datos de los clientes, Hostinger se ha deshecho del algoritmo de hashing SHA-1 en favor del uso de SHA-2, que es más difícil de quebrar para los delincuentes.
El incidente ha sido reportado bajo el Reglamento General de Protección de Datos de Europa.
En una declaración publicada en su blog, Hostinger dijo: “Tras el incidente, hemos identificado el origen del acceso no autorizado y hemos tomado las medidas necesarias para proteger los datos de nuestros Clientes, incluyendo el restablecimiento obligatorio de contraseñas para nuestros Clientes y sistemas en toda nuestra infraestructura.
“Además, hemos reunido un equipo de expertos forenses internos y externos y científicos de datos para investigar el origen del incidente y aumentar las medidas de seguridad de todas las operaciones de Hostinger. Como exige la ley, ya estamos en contacto con las autoridades”.
Hostinger aseguró a sus clientes que sus datos financieros estaban a salvo. Dado que los pagos de los servicios de Hostinger se realizan a través de proveedores de pago autorizados y certificados, la empresa no almacena en sus servidores los datos de las tarjetas ni ningún otro tipo de información financiera confidencial.
Con información de: RedesZone.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian