hostinger

Hostinger, victime d’une brèche de donnée

L’hébergeur populaire, Hostinger, a été la victime d’une brèche de données importante. La compagnie a décidé de renouveler tout les mots de passe de ses clients par mesure de précaution.

Dans un article publié le 25 Août, Hostinger a révélé qu’un “parti tiers non-autorisé” a infiltré leurs serveurs et a obtenu l’accès aux “hash de mots de passe et aux autres données non-financières” associés à des millions de clients.

L’incident s’est produit le 23 Août quand des pirates ont trouvé un token d’autorisation sur l’un des serveurs de la compagnie et l’ont utilisé pour avoir accès à un API du système, sans avoir besoin de nom d’utilisateur et d’un mot de passe.

Immédiatement après la découverte de la brèche, Hostinger a mis des limites sur le système vulnérable, rendant cet accès indisponible et a ensuite contacté les autorités concernés.

“Le 23 Août 2019, nous avons reçu des alertes nous informant que l’un de nos serveurs a été accédé par un parti tiers non-autorisé,” a déclaré Hostinger.

“Ce serveur contenait un token d’autorisation, lequel a été utilisé pour obtenir un droit d’accès et élever des privilèges sur notre système RESTful API Server*. Cet API Server* est utilisé pour demander des détails à propos de nos clients et de leurs comptes.”

La base de données API héberge les informations personnelles de près de 14 millions de clients d’Hostinger, y compris leurs noms d’utilisateur, leurs emails, les hashs de mots de passe, prénoms et adresses IP.

La Brèche Affecte Plus de la Moitié des Utilisateurs d’Hostinger

La compagnie compte 29 millions d’utilisateurs, donc la brèche de donnée a affecté plus de la moitié de leurs utilisateurs.

Cependant, il faut préciser que la compagnie a utilisé l’algorithme de hashing SHA-1 pour chiffrer les mots de passe des clients d’Hostinger, rendant les mots de passe plus facile à cracker pour les pirates.

Comme mesure de précaution, la compagnie a renouvelé les hashs de mots de passe de tout les clients Hostinger en utilisant l’algorithme SHA-2 et a envoyé des emails de récupération de mots de passe à tout les clients affectés.

Il faut noter que la compagnie n’offre pas d’authentification à deux facteurs (2FA) à ses clients, mais ils affirment qu’ils prévoient de fournir cette couche de sécurité supplémentaire dans un futur proche.

Hostinger a rassuré ses clients qu’aucune donnée financière n’a été accédé car la compagnie ne stocke pas les données de carte de paiement ou autres données financières sur leurs serveurs. Ils ont ajouté que des parti tiers traitent les paiements effectués sur leurs services.

De plus, la compagnie a assuré qu’une enquête interne a établit que les comptes Hostinger et les données stockées sur ces comptes, y compris les sites, les domaines et les emails hébergés n’ont pas été touché et ne sont pas affectés.

L’enquête est encore en cours. Une’équipe d’experts légaux et de data scientists a été rassemblé pour découvrir l’origine de la brèche de données et améliorer les mesures de sécurité de toutes les opérations de la compagnie.

Après le renouvellement de mot de passe, la compagnie demande à ses clients de choisir un mot de passe fort et unique pour leurs comptes Hostinger et faire attention aux emails suspects leur demandant de cliquer sur des liens ou de télécharger des fichiers joints, ainsi que des communications non sollicitées demandant des détails de connexion ou d’autres informations personnelles.

Les clients qui veulent supprimer leurs détails sur les serveurs Hostinger selon les règles RGPD doivent contacter gdpr@hostinger.com.

Si cet article vous a plu, jetez un œil à notre précédent article.