13 milionów haseł wyciekło z 000Webhosting
Zwykle dostajesz to, za co płacisz, jednak w przypadku hostingu firmy 000Webhost nie płacisz, a firma utrzymuje twoją stronę na swoich serwerach.
Dopiero wyciek 13 milionów haseł ujawnił, że 000Webhost lekkomyślnie przechowywał hasła swoich klientów w postaci zwykłego tekstu - trzeba przyjąć, że słowa takie jak hashowanie, ciąg zaburzający, czy szyfrowanie nie występują w słowniku tej firmy.
Na głównej stronie internetowej 000Webhost pojawiła się krótka wiadomość:
„Ważne! Ze względu na naruszenie bezpieczeństwa musimy wstrzymać stronę www.000webhost.com do czasu aż problemy zostaną usunięte. Dziękujemy za wyrozumiałość i zapraszamy później."
Według eksperta bezpieczeństwa Troya Hunta, który jako pierwszy poinformował opinię publiczną o naruszeniu ochrony danych, ostrzeżenie było wyświetlone dopiero po tym, jak spędził cały dzień, aby znaleźć kogoś w 000Webhost, kto odpowie na jego obawy, że 13 milionów danych klientów zostało skradzionych z firmy ponad pięć miesięcy wcześniej, a także na pytania o zabezpieczenia strony internetowej.
Ekspert twierdzi także, że wciąż nie otrzymał żadnego potwierdzenia od firmy, której dotyczy naruszenie, czyli 000Webhost lub jednej z siostrzanych firm Hosting24 i Hostinger. Trzeba przyjąć, że mogą mieć one podobne problemy z przechowywaniem haseł, a Troy Hunt ostrzegł administratorów, że powinni się upewnić, iż nie używają tych samych haseł na innych kontach online.
Aby zachować bezpieczeństwo każdy może wprowadzić w życie regułę „jedno hasło na jednej stronie internetowej". Używanie tego samego hasła na wielu witrynach to gra w rosyjską ruletkę, gdzie stawką jest nasza prywatność online i nierzadko finanse. To bardzo typowe dla hakerów, którzy kradną dane z jednej strony, by następnie sprawdzić, czy mogą zalogować się na innej stronie korzystając z tych samych danych. I niestety w wielu wypadkach im się to udaje.
Internauci muszą się nauczyć, ze największym problemem nie jest hasło łatwe do zgadnięcia, ale ponowne jego wykorzystanie.
Niestety niewiele można zrobić, aby nieodpowiedzialne przedsiębiorstwa, które nie zabezpieczyły odpowiednio informacji im powierzonych, zostały ukarane. Jednocześnie można mieć pewność, że jeśli hasło zostanie skradzione z określonej usługi oraz upublicznione zyska „drugie życie" w rękach hakerów.
000Webhost nie odpowiedział Troyowi Huntowi. Jednak samemu udało mu się ustalić jak mogło dojść do tego naruszenia bezpieczeństwa - co opublikował w poście na Facebooku - haker wykorzystał lukę w starej wersji PHP.
Trudno zgodzić się z twierdzeniem z regulaminu 000Webhosting, że „Zobowiązuje się do ochrony danych użytkownika" z faktem w postaci przechowywanych w postaci zwykłego tekstu haseł. Niestety nigdy nie mamy pewności jak są przechowywane nasze hasła, więc warto ustalić zasady i używać innego hasła na każdym koncie online.