3 phút để đọc
Nhà cung cấp dịch vụ lưu trữ web (web hosting) nổi tiếng Hostinger mới đây bị tấn công vi phạm dữ liệu nghiêm trọng. Do đó, công ty đã tiến hành đặt lại mật khẩu cho tất cả khách hàng của mình như một biện pháp phòng ngừa rủi ro.
Trong một bài đăng trên blog được công bố hôm Chủ nhật tuần trước, Hostinger tiết lộ rằng “một bên thứ ba trái phép” đã vi phạm một trong các máy chủ và có được quyền truy cập vào “mật khẩu băm (hashed password) và các dữ liệu phi tài chính khác (non-financial)” liên quan đến hàng triệu khách hàng của họ.
Hacker phát hiện mã token ủy quyền trên máy chủ của công ty
Vụ việc xảy ra vào ngày 23 tháng 8, khi một tin tặc chưa rõ danh tính tìm thấy mã token ủy quyền (authorization token) trên một trong các máy chủ của công ty và sử dụng nó để có quyền truy cập vào API hệ thống nội bộ mà không yêu cầu bất kỳ tên người dùng và mật khẩu nào.
Ngay sau khi phát hiện vi phạm, Hostinger đã hạn chế hệ thống chứa lỗ hổng khiến quyền truy cập này không còn nữa, đồng thời nhanh chóng liên hệ với các cơ quan chức năng để xử lý vụ việc.
Hostinger cho biết “máy chủ này chứa mã token ủy quyền, được sử dụng để có thêm quyền truy cập và nâng cấp đặc quyền cho hệ thống RESTful API Server * của công ty. Máy chủ API * này được sử dụng để truy vấn chi tiết về khách hàng và tài khoản của công ty.”
Cơ sở dữ liệu API lưu trữ thông tin cá nhân của gần 14 triệu khách hàng của Hostinger đã bị tin tặc truy cập bao gồm tên người dùng, email, mật khẩu băm, tên và địa chỉ IP.
Vi phạm ảnh hưởng đến hơn một nửa hệ thống cơ sở người dùng của Hostinger
Hostinger có hơn 29 triệu người dùng, vụ vi phạm dữ liệu lần này đã ảnh hưởng đến hơn một nửa hệ thống cơ sở người dùng của công ty.
Tuy nhiên, cần lưu ý rằng công ty đã sử dụng thuật toán băm SHA-1 yếu để “băm” mật khẩu của khách hàng. Điều này giúp tin tặc bẻ khóa mật khẩu dễ dàng hơn.
Để phòng ngừa, công ty đã thiết lập lại tất cả mật khẩu đăng nhập của khách hàng bằng thuật toán SHA-2 mạnh hơn và gửi email khôi phục mật khẩu email cho những khách hàng bị ảnh hưởng.
Ngoài ra, Hostinger hiện không cung cấp xác thực hai yếu tố
(2FA) cho tài khoản của khách hàng, mặc dù công ty này cho biết cũng đang lên kế
hoạch để cung cấp lớp bảo mật bổ sung này trong tương lai gần.
Hostinger trấn an khách hàng của mình rằng không có dữ liệu tài chính nào bị truy cập vì công ty không bao giờ lưu trữ bất kỳ thông tin thẻ thanh toán hay dữ liệu tài chính nhạy cảm nào khác trên máy chủ của mình. Phía công ty cũng cho biết các nhà cung cấp thanh toán thuộc bên thứ ba sẽ xử lý thanh toán cho các dịch vụ của họ.
Hơn nữa, các cuộc điều tra nội bộ của công ty cũng cho thấy các
tài khoản và dữ liệu của Hostinger Client được lưu trữ trên các tài khoản đó,
bao gồm các trang web, tên miền và email chủ quản vẫn không bị ảnh hưởng.
Các cuộc điều tra vẫn đang tiếp diễn
Các cuộc điều tra liên quan tới vấn đề này vẫn đang được triển
khai và một nhóm các chuyên gia điều tra số bên trong và bên ngoài, cùng các
nhà khoa học dữ liệu đã được tập hợp để khám phá nguồn gốc của vụ vi phạm dữ liệu
đồng thời tăng cường các biện pháp bảo mật cho tất cả các hoạt động của công
ty.
Mặc dù đã đổi mật khẩu của 14 triệu tài khoản ảnh hưởng và gửi email cảnh báo cho khách hàng. Nhưng công ty vẫn khuyến cáo người dùng bảo vệ mật khẩu an toàn hơn. Bên cạnh đó cảnh giác với các email lừa đảo, giả mạo Phishing nhằm bảo mật website tốt nhất.
Khách hàng muốn xóa thông tin chi tiết của họ khỏi máy chủ Hostinger theo quy tắc GDPR cần liên hệ với gdpr@hostinger.com.
