全球最流行的免費(fèi)Web 托管公司000Webhost遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件,1350萬用戶的個人數(shù)據(jù)泄露。
百科:000webhost
000webhost是國外著名空間商Hosting24旗下的免費(fèi)虛擬主機(jī)產(chǎn)品,號稱“比收費(fèi)虛擬主機(jī)更好用”。而確實(shí)如其所說的,該空間非常優(yōu)質(zhì)和穩(wěn)定。而該空間提供商也見識到了中國人口之多,中國用戶申請到有一定難度。他的口碑也確實(shí)不錯。000webhost提供的免費(fèi)服務(wù):全能PHP空間1.5G ,支持PHP(不支持ASP),支持綁定頂級域名,無任何廣告,獨(dú)立控制面板,免費(fèi)創(chuàng)建Mysql數(shù)據(jù)庫,F(xiàn)TP上傳下載,在線壓縮解壓,支持fopen()函數(shù)。
事件詳情
用戶泄露的信息包括用戶名、明文密碼、郵箱地址、IP地址、用戶真實(shí)的姓氏。000webhost在其官方Facebook上確認(rèn)了公司被黑客攻擊,確認(rèn)聲明如下:
我們已經(jīng)發(fā)現(xiàn)我們的主服務(wù)器上的數(shù)據(jù)庫被泄露。黑客是使用老版本PHP中含有的一個exp上傳一些文件,從而獲得訪問的系統(tǒng)。盡管整個數(shù)據(jù)庫都被入侵了,但我們最擔(dān)心的是客戶信息。
澳大利亞安全研究員Troy Hunt從匿名來源處獲得了000webhost泄露的數(shù)據(jù),并已經(jīng)確定了數(shù)據(jù)的真實(shí)性。
“毫無疑問000webhost的泄露事件是真實(shí)的,用戶應(yīng)該知情。我更希望000webhost公司能自己通知其用戶信息已經(jīng)泄露。”
000webhost一直忽略專業(yè)人員的安全警告
之前Troy Hunt和Forbes記者曾不止一次的告訴000webhost公司存在數(shù)據(jù)泄露的風(fēng)險(xiǎn),然而他們卻沒有給予足夠多的重視,甚至忽略了他們的警告。
更嚴(yán)重的是什么?
000webhost甚至都沒有采取最基本、最標(biāo)準(zhǔn)的安全措施來保障用戶數(shù)據(jù)的安全。就在幾天前,英國手機(jī)通信及寬帶服務(wù)運(yùn)營商TalkTalk也遭遇了嚴(yán)重的數(shù)據(jù)泄露,涉及400萬用戶。
那么數(shù)據(jù)泄露能造成什么危害呢?
1,嚴(yán)重?fù)p害公司聲譽(yù)
2,喪失客戶的信任
3,數(shù)千美元的罰款
4,個人數(shù)據(jù)丟失可能造成永久性的傷害
5,暫時或者永久性的關(guān)閉
補(bǔ)救措施
處于安全考慮,000webhost應(yīng)該更改所有用戶的密碼(密碼要隨機(jī)),部署加密措施,但不要直接通知受影響的用戶;而受影響的用戶也要根據(jù)密碼重置步驟生成新的密碼。