Trong một bài đăng trên blog được công bố vào Chủ nhật, Hostinger tiết lộ rằng “một bên thứ ba trái phép” đã vi phạm một trong các máy chủ của họ và có được quyền truy cập vào “mật khẩu băm (hashed passwords) và dữ liệu phi tài chính khác (non-finacial data)” liên quan đến hàng triệu khách hàng.

Vụ việc xảy ra vào ngày 23 tháng 8 khi hacker chưa rõ danh tính đã tìm thấy một mã thông báo ủy quyền (authorization token) trên một trong các máy chủ của công ty và sử dụng nó để có quyền truy cập vào API hệ thống nội bộ mà không yêu cầu bất kỳ tên người dùng và mật khẩu nào.

Ngay sau khi phát hiện vi phạm, Hostinger đã giới hạn hệ thống dễ bị tấn công, khiến quyền truy cập này không còn nữa và liên hệ với các cơ quan chức năng tương ứng.

“Vào ngày 23 tháng 8 năm 2019, chúng tôi đã nhận được thông báo thông tin rằng một trong các máy chủ của chúng tôi đã bị truy cập bởi một bên thứ ba trái phép. Máy chủ này chứa mã thông báo ủy quyền, được sử dụng để có thêm quyền truy cập và nâng cấp đặc quyền cho hệ thống RESTful API Server * của chúng tôi. Máy chủ API * này được sử dụng để truy vấn chi tiết về khách hàng và tài khoản của họ,” Hostinger cho biết.

Cơ sở dữ liệu API lưu trữ thông tin cá nhân của gần 14 triệu khách hàng của Hostinger, bao gồm tên người dùng, email, mật khẩu băm, tên và địa chỉ IP đã bị tin tặc truy cập.

Vi phạm dữ liệu ảnh hưởng tới gần một nửa số người dùng của Hostinger

Công ty có hơn 29 triệu người dùng, do đó vi phạm dữ liệu đã ảnh hưởng đến gần một nửa số người dùng.

Tuy nhiên, cần lưu ý rằng công ty đã sử dụng thuật toán băm SHA-1 yếu, giúp tin tặc bẻ khóa mật khẩu dễ dàng hơn. Để phòng ngừa, công ty đã thiết lập lại tất cả mật khẩu đăng nhập của Hostinger Client bằng thuật toán SHA-2 mạnh hơn và gửi email khôi phục mật khẩu email cho người tiêu dùng bị ảnh hưởng.

Ngoài ra, công ty hiện không cung cấp xác thực hai yếu tố (2FA) cho tài khoản của khách hàng, mặc dù họ cho biết họ đang lên kế hoạch cung cấp lớp bảo mật bổ sung này trong tương lai gần.

Hostinger trấn an khách hàng của mình rằng không có dữ liệu tài chính nào được truy cập vì công ty không bao giờ lưu trữ bất kỳ thẻ thanh toán hoặc dữ liệu tài chính nhạy cảm nào khác trên máy chủ của họ, thêm rằng các nhà cung cấp thanh toán bên thứ ba xử lý thanh toán cho các dịch vụ của họ.

Hơn nữa, công ty cũng đảm bảo rằng một cuộc điều tra nội bộ kỹ lưỡng cho thấy các tài khoản và dữ liệu của Hostinger Client được lưu trữ trên các tài khoản đó, bao gồm các trang web, tên miền và email được lưu trữ, không bị ảnh hưởng.

Cuộc điều tra về vấn đề này vẫn đang tiếp diễn, và một nhóm các chuyên gia forensics nội bộ và bên ngoài và các nhà khoa học dữ liệu đã được tập hợp để khám phá nguồn gốc của vi phạm dữ liệu và tăng các biện pháp bảo mật cho tất cả các hoạt động của công ty.

Sau khi đặt lại mật khẩu, công ty cũng kêu gọi khách hàng đặt mật khẩu mạnh và duy nhất cho tài khoản Hostinger của họ và thận trọng với các email đáng ngờ yêu cầu họ nhấp vào liên kết hoặc tải xuống tệp đính kèm, hoặc thông tin cá nhân khác.

Khách hàng muốn xóa chi tiết của họ khỏi máy chủ Hostinger theo quy tắc GDPR nên liên hệ với gdpr@hostinger.com.

Nguồn vietsunshine.com.vn