El popular proveedor de alojamiento web Hostinger ha sido afectado por un masivo robo de datos en sus servidores, como consecuencia la compañía ha restablecido las contraseñas para todos los clientes como medida de precaución. En una publicación del blog del pasado domingo, la empresa reveló que "un tercero no autorizado" violó uno de sus servidores y obtuvo acceso a "contraseñas hash y otros datos sensibles" asociados a sus millones de clientes.
El incidente ocurrió el 23 de agosto cuando ciberdelincuentes sin identificar encontraron un token de autorización en uno de los servidores de la compañía y lo usaron para obtener acceso a una API del sistema, sin requerir ningún nombre de usuario y contraseña. Inmediatamente después de descubrir el hecho, Hostinger restringió el sistema vulnerable, y contactó a los responsables.
La API de la base de datos aloja información personal de casi 14 millones de clientes de Hostinger, incluidos sus nombres de usuario, correos electrónicos, contraseñas, nombres y direcciones IP, datos los cuales accedieron los hackers.
La compañía tiene más de 29 millones de usuarios, por lo que la violación de datos afectó a más de la mitad de sus usuarios. Sin embargo, hay que considerar que la compañía utilizó el algoritmo de hash SHA-1 para codificar las contraseñas de los clientes, lo que facilita la tarea a los hackers para descifrar las contraseñas. Como medida de precaución, la compañía ha restablecido todas las contraseñas de inicio de sesión del cliente hostinger utilizando el algoritmo SHA-2 y envió correos electrónicos de recuperación de contraseña a los consumidores afectados.
Además, la compañía actualmente no ofrece autenticación de dos factores (2FA) para las cuentas de sus clientes, un método que brinda una segunda capa de seguridad a los usuarios, aunque planea proporcionar esta capa adicional de seguridad en un futuro cercano.
Hostinger aseguró a sus clientes que los datos financieros no fueron accedidos, ya que la compañía nunca almacena ninguna tarjeta de pago u otros datos financieros confidenciales en sus servidores, y agregó que los proveedores de pagos de terceros manejan los pagos por sus servicios, sin manejar los datos como tal.
Los clientes que quieran eliminar sus datos de los servidores Hostinger según las normas GDPR deben comunicarse con gdpr@hostinger.com.
REFERENCIA
COMENTARIOS