Technologie i Firma

Wyciek 13 milionów haseł logowania z firmy oferującej darmowe usługi hostingowe

Przemysław Jankowski | Redaktor serwisu benchmark.pl
6 komentarzy Dyskutuj z nami

Firma 000Webhost oferująca darmowy webhosting lekkomyślnie traktowała kwestie bezpieczeństwa, przez co doszło do wycieku 13 milionów haseł.

Wyciek haseł 000Webhost

Usługi hostingowe zwykle kosztują swoje. Nie są to z reguły szczególnie duże koszty, a w parze z nimi idzie jakość usług oraz bezpieczeństwo. Jak pokazuje przykład firmy 000Webhost, oferującej darmowe rozwiązania, brak odpowiedniej ochrony może doprowadzić do potężnego wycieku danych. W tym przypadku dotyczy on aż 13 milionów haseł użytkowników.

Potężny wyciek danych ujawnił, że 000Webhost obce są takie pojęcia, jak hashowanie, ciąg zaburzający, czy szyfrowanie, gdyż jak się okazało, firma przechowywała hasła swoich klientów w postaci zwykłego tekstu. Po spektakularnym, skądinąd, wycieku firma zamieściła na swojej głównej stronie internetowej poniższą wiadomość.

000Webhost wyciek haseł

Ważne! Ze względu na naruszenie bezpieczeństwa musimy wstrzymać stronę www.000webhost.com do czasu aż problemy zostaną usunięte. Dziękujemy za wyrozumiałość i zapraszamy później.

Zdaniem eksperta bezpieczeństwa Troya Hunta, który to jako pierwszy poinformował opinię publiczną o naruszeniu ochrony danych, ostrzeżenie zostało wyświetlone dopiero po tym, jak spędził dzień na próbie odnalezienia kogoś w 000Webhost, kto ustosunkuje się do jego obaw i wątpliwości dotyczących wycieku 13 mln danych klientów firmy ponad pięć miesięcy wcześniej.

Troy Hunt twierdzi również, że wciąż nie dostał żadnego potwierdzenia od firmy, której dotyczy naruszenie lub jednej z siostrzanych firm Hosting24 oraz Hostinger. Należy zatem założyć, że mogą mieć one podobne problemy z przechowywaniem i zabezpieczaniem haseł. Ekspert poinformował administratorów, że powinni upewnić się, że nie używają tych samych haseł na innych swoich kontach w sieci.

Jeśli chcemy zachować bezpieczeństwo w sieci, musimy wprowadzić w życie dość prostą regułę – jedno hasło na jednej stronie internetowej. Korzystanie z jednego, tego samego hasła na wielu witrynach to niesłychanie ryzykowny i lekkomyślny nawyk, zwłaszcza, że chodzi tu o nasze bezpieczeństwo oraz prywatność online, a często również o finanse.

Niewiele jest złych nawyków, które ułatwiają życie hakerom w równym stopniu, co używanie tego samego hasła na różnych serwisach internetowych. Hakerzy, którzy uzyskają dostęp do naszego hasła na jednej stronie, sprawdzają później, czy uda im się zalogować na inne wykorzystując skradzione dane logowania, co niestety zwykle się udaje.

Wyciek danych

Kliknij w zdjęcie, by przeczytać całą wiadomość

Wszyscy poszkodowani w wyniku podobnych wycieków muszą zdawać sobie sprawę, że szanse, by nieodpowiedzialne przedsiębiorstwa, które nie zabezpieczyły odpowiednio powierzonych im informacji zostały ukarane – są niewielkie. Jest to równie pewne, co drugie życie skradzionych haseł w rękach hakerów.

Mimo iż firma 000Webhost nie odpowiedziała ani nie ustosunkowała się do pytań Troya Hunta, jemu samemu udało się ustalić, w jaki sposób doszło do naruszenia bezpieczeństwa. Swoje wnioski opublikował w poście na Facebooku informując, że haker odpowiedzialny za wyciek wykorzystał lukę w starej wersji PHP.

Zasadniczo trudno zgodzić się z twierdzeniem zawartym w regulaminie 000Webhost głoszącym, że firma Zobowiązuje się do ochrony danych użytkownika. W kontekście opisywanego wycieku i haseł logowania przetrzymywanych w postaci zwykłego tekstu, podobne zapewnienia brzmią zwyczajnie niepoważnie.

Pamiętajmy zatem, że zwykle nie mamy pewności co do tego, jak przechowywane są nasze hasła w różnych serwisach. Dlatego właśnie, dobrze jest korzystać z wielu haseł i w każdym serwisie używać innego i niepowtarzalnego.

Źródło: Bitdefender

Komentarze

6
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Nullmaruzero
    Obrazek w newsie jest błędny, zamiast kodu binarnego z ekranu powinny wylatywać ciągi tekstowe jak "admin1", "password123", "secretpassword" czy "kochamadama".
    Ja myślę że ta firma specjalnie tak zrobiła, nie rozumiem jak można mieć na tyle łba żeby oferować darmowe hostingi, kompleksową obsługę związaną z instalatorami CMSów, obsługą PHP, MySQL i wszystkiego do okoła, a hasła trzymać jako tekst. To mi się po prostu nie dodaje. Takie strony to chyba powstają tylko po to żeby zbierać userów, a jak już dość danych zbiorą to leci "włam" i sprzedają dane w deepwebie.
    3
  • avatar
    Konto usunięte
    Interesujące.
    1
  • avatar
    Flynn
    Oj tam. Wzbogacili słowniki. Będzie łatwiej.
  • avatar
    rambosz
    "Jeśli chcemy zachować bezpieczeństwo w sieci, musimy wprowadzić w życie dość prostą regułę – jedno hasło na jednej stronie internetowej. Korzystanie z jednego, tego samego hasła na wielu witrynach to niesłychanie ryzykowny i lekkomyślny nawyk"

    To jest niezłe- jak się korzysta z 10 witryn to może jest i realizowalne, ale ze jak z ponad 20 to już trudno, a jak się jeszcze do tego obsługuje kilka serwerów i kilkanaście /-dziesiąt desktopów to jest nierealne. Mój znajomy to ma taki plik tekstowy w którym trzyma wszystkie hasła opentekstem, to jest dopiero bezpieczne rozwiązanie.