000webhost 数据泄露导致 1300 万个未加密密码暴露

[relemedf5w023]

弗拉基米尔·贝兹马利| 2015 年 11 月 2 日
流行的网络托管服务 000webhost 报告了一次数据泄露，导致其约 1300 万客户的登录信息、纯文本密码和电子邮件地址遭到泄露。

微软开发者安全 MVP、Have I been pwned? 的创建者和管理员 Troy Hunt 于周三宣布了这一漏洞。Have I been pwned 是一项服务，允许用户检查他们的个人数据是否已在网络上的任何地方发布。

他最初从一位匿名用户那里获得信息，该用户指出了一个包含受损信息的数据库。在开始分析数据库中的信息是否真实后，他多次尝试联系000webhost的负责人，但从未收到回复。亨特随后被迫在 Twitter 上重复他的请求，向 000webhost 用户寻求帮助。其中一些人确认他们的地址和密码就在这个数据库中。

000webhost 最终证实了此次泄漏，并报告称攻 意大利电报数据 击者利用了旧版本 PHP 中的漏洞来访问系统。虽然整个数据库都处于危险之中，但最大的担忧是客户数据被盗。 000webhost 专家表示，他们建议用户更改所有密码并加强加密。

接下来，所有尝试登录的 000webhost 用户都被说服更改密码，这些密码由该公司的专家出于安全原因重置。

但是，并没有针对该事件做出进一步解释，也没有直接向用户发送违规通知。主持人还隐瞒了此次违规行为大约在五个月前发生的事实。在如此长的时间内，犯罪分子能够使用相同的密码来入侵不同账户的各种用户账户。

进一步调查发现，000webhost 的合作伙伴其他一些网络托管服务提供商也遭到了黑客攻击，窃取的信息被放入待售的数据库中。