El host web Hostinger dice que la violación de datos puede afectar a 14 millones de clientes

Hostinger dijo que restableció las contraseñas de los usuarios como una "medida de precaución" después de detectar el acceso no autorizado a una base de datos que contiene información sobre millones de sus clientes.

Se dice que la violación ocurrió el jueves. La compañía dijo en una publicación de blog que recibió una alerta de que uno de sus servidores fue accedido incorrectamente. Utilizando un token de acceso que se encuentra en el servidor, que puede dar acceso a los sistemas sin necesidad de un nombre de usuario o una contraseña, el pirata informático obtuvo más acceso a los sistemas de la empresa, incluida una base de datos API. Esa base de datos contenía nombres de usuario de clientes, direcciones de correo electrónico y contraseñas codificadas con el algoritmo SHA-1, que ha quedado en desuso a favor de algoritmos más fuertes después de que los investigadores descubrieron que SHA-1 era vulnerable a la suplantación de identidad. Desde entonces, la compañía ha actualizado su hashing de contraseñas al algoritmo SHA-2 más fuerte.

Hostinger dijo que la base de datos API almacenaba alrededor de 14 millones de registros de clientes. La compañía tiene más de 29 millones de clientes en sus libros.

La compañía dijo que estaba "en contacto con las autoridades respectivas".

La noticia de la violación estalló de la noche a la mañana. Según la página de estado de la empresa, los clientes afectados ya han recibido un correo electrónico para restablecer sus contraseñas.

La compañía dijo que los datos financieros no se vieron comprometidos, ni los archivos del sitio web del cliente o los datos afectados.

Pero un cliente afectado por la violación acusó a la compañía de ser potencialmente "engañosa" sobre el alcance de la violación.

Un registro de chat visto por TechCrunch muestra a un representante de atención al cliente diciéndole al cliente que era "correcto" que la API puede recuperar los datos financieros de los clientes, pero que la empresa "no almacena ningún dato de pago". Hostinger utiliza múltiples procesadores de pagos, el representante le dijo al cliente, pero no los nombró.

El presidente ejecutivo, Balys Kriksciunas, dijo a TechCrunch que los comentarios realizados por el representante de atención al cliente eran "engañosos" y negaron que los datos financieros de los clientes estuvieran comprometidos. Sin embargo, sigue en curso una investigación de la compañía sobre la violación.

Actualizado con comentarios de Hostinger.

Historias relacionadas: