Ayer Hostinger, la popular empresa de alojamiento Web, publicó un comunicado informando sobre un incidente de seguridad que derivó en una brecha de seguridad masiva que afectó a la base de datos de 14 millones de cuentas de usuarios.
En el boletín que publicaron, informan que decidieron reiniciar las contraseñas todas esas cuentas de clientes como una medida de protección. Además de las cuentas de clientes, también han reiniciado contraseñas internas y proceden a investigar el motivo exacto de la falla y reforzar algunos procesos.
Afortunadamente, según informan, la información financiera de los clientes está (¿estaría?) a salvo ya que los pagos los procesan mediante un servicio de terceros. Hostinger informa no almacena ese tipo de información.
Además según dice Techcrunch haber visto en un chat entre un cliente y Hostinger, parecería que lo informado sobre la información financiera no sería tal como afirman, un representante de atención al cliente informó que mediante la API se obtienen datos financieros del cliente aunque no guardan ninguna información sobre los pagos. Esa información sería accesible mediante una API. Una controversia sobre la que no aportan más información.
Mientras tanto el comunicado insta a los clientes a utilizar contraseñas fuertes, algo que podrían forzar ellos mismos, y también recomiendan no reutilizar contraseñas de otros servicios. También advierten sobre tener cuidado con posibles correos no solicitados con solicitudes de información o confirmación de datos de ingreso, credenciales u otros detalles.
Todos los clientes fueron notificados por correo electrónico respecto del reinicio de contraseña e informando lo sucedido.
Correo que recibieron los clientes de Hostinger (Techcrunch) |
Finalmente se informa que luego de una revisión no han detectado que se hayan modificado sitios, datos o correos que los clientes tienen alojados.
Es de destacar este caso como un ejemplo de buenas prácticas y transparencia al emitir el comunicado y tomar las medidas de protección de forma temprana
Según informa Techcrunch, Hostinger almacenaba las contraseñas con el algoritmo SHA-1, que hace algunos años fue dejado de ser considerado seguro, y reemplazado por SHA-2 que es más seguro.
Por otra parte Bleepingcomputer reporta que fue un cliente que consultó a Hostinger respecto al algoritmo de cifrado (hash) utilizado:
Respuesta a un cliente (Bleepingcomputer) |
Según informan, Hostinger tiene planeado implementar un segundo factor de autenticación para asegurar el acceso a las cuentas. Con ello, no sería suficiente con conocer el usuario y contraseña para ingresar a los datos y administración del servicio de un cliente.
Se puede consultar el estado del servicio y las novedades del incidente aquí.
Autor: Raúl Batista de la Redacción de Segu-Info en base a las fuentes.
Fuentes: Hostinger | Techcrunch | BleepingComputer