Beliebter Webhosting-Anbieter Hostinger wurde von einem massiven Datenverstoß heimgesucht, wodurch das Unternehmen vorsorglich die Passwörter für alle Kunden zurückgesetzt hat.
In einem am Sonntag veröffentlichten Blog-Beitrag gab Hostinger bekannt, dass "ein nicht autorisierter Dritter" einen seiner Server verletzt und Zugang zu "gehackten Passwörtern und anderen nicht finanziellen Daten" seiner Millionen Kunden erlangt hat.
Der Vorfall ereignete sich am 23. August, als unbekannte Hacker auf einem der Server des Unternehmens ein Autorisierungstoken fanden und damit Zugriff auf eine interne System-API erhielten, ohne dass ein Benutzername und ein Kennwort erforderlich waren.
Unmittelbar nach der Aufdeckung der Sicherheitslücke schränkte Hostinger das anfällige System ein, sodass dieser Zugriff nicht mehr verfügbar war, und wandte sich an die jeweiligen Behörden.
"Am 23. August 2019 haben wir informative Benachrichtigungen erhalten, dass ein unbefugter Dritter auf einen unserer Server zugegriffen hat", sagte Hostinger.
"Dieser Server enthielt ein Autorisierungstoken, mit dem weitere Zugriffsrechte und erweiterte Berechtigungen für den RESTful-API-Server * unseres Systems erlangt wurden. Dieser API-Server * wird zum Abfragen der Details zu unseren Clients und deren Konten verwendet."
In der API-Datenbank werden persönliche Informationen von fast 14 Millionen Hostinger-Kunden gespeichert, darunter deren Benutzernamen, E-Mails, Hash-Passwörter, Vornamen und IP-Adressen, auf die Hacker zugegriffen haben.
Verstoß betrifft mehr als die Hälfte der Hostinger-Benutzer
Das Unternehmen hat mehr als 29 Millionen Nutzer, sodass die Datenverletzung mehr als die Hälfte seiner gesamten Nutzerbasis betraf.
Es sollte jedoch beachtet werden, dass das Unternehmen den schwachen SHA-1-Hashing-Algorithmus zum Verschlüsseln der Hostinger-Client-Passwörter verwendete, um Hackern das Knacken der Passwörter zu erleichtern.
Als Vorsichtsmaßnahme hat das Unternehmen alle Hostinger Client-Anmeldekennwörter unter Verwendung des stärkeren SHA-2-Algorithmus zurückgesetzt und E-Mails zur Kennwortwiederherstellung an die betroffenen Verbraucher gesendet.
Außerdem bietet das Unternehmen derzeit keine Zwei-Faktor-Authentifizierung (2FA) für die Konten seiner Kunden an, obwohl es plant, diese zusätzliche Sicherheitsebene in naher Zukunft bereitzustellen.
Hostinger versicherte seinen Kunden, dass kein Zugriff auf Finanzdaten vermutet wird, da das Unternehmen niemals Zahlungskarten oder andere vertrauliche Finanzdaten auf seinen Servern speichert, und fügte hinzu, dass Drittanbieter Zahlungen für seine Dienste abwickeln.
Darüber hinaus hat das Unternehmen versichert, dass eine gründliche interne Untersuchung ergab, dass die Hostinger-Kundenkonten und die auf diesen Konten gespeicherten Daten, einschließlich Websites, Domains und gehosteten E-Mails, unberührt und unberührt blieben.
Die Untersuchung der Angelegenheit ist noch nicht abgeschlossen, und ein Team von internen und externen Forensikexperten und Datenwissenschaftlern wurde zusammengestellt, um die Ursache des Datenverstoßes zu ermitteln und die Sicherheitsmaßnahmen für alle Unternehmenstätigkeiten zu erhöhen.
Nach dem Zurücksetzen des Passworts fordert das Unternehmen seine Kunden auf, ein sicheres und eindeutiges Passwort für ihre Hostinger-Konten festzulegen und sich vor verdächtigen E-Mails zu hüten, in denen sie aufgefordert werden, auf die Links zu klicken oder Anhänge herunterzuladen, sowie vor unerwünschten Mitteilungen, in denen sie um Anmeldung gebeten werden Details oder andere persönliche Informationen.
Kunden, die ihre Daten gemäß den GDPR-Regeln von Hostinger-Servern löschen möchten, wenden sich an gdpr@hostinger.com.
