Debido a la detección de un acceso no autorizado a la base de datos que almacena la información de sus clientes, y como medida de prevención de futuros ciberataques, la compañía de hosting web Hostinger forzó un restablecimiento masivo de las contraseñas de al menos 14 millones de usuarios, reportan expertos en forense digital.
A través de un comunicado, la compañía con sede en Lituania mencionó: “Un tercero sin autorización obtuvo acceso a la API de nuestros sistemas internos, lo que a la postre le concedió acceso a las contraseñas cifradas de nuestros usuarios, entre otros datos relacionados con el pago de servicios”. La compañía fue fundada en 2004 y cuenta con casi 30 millones de usuarios en más de 170 países.
Este incidente de seguridad habría ocurrido hace un par de semanas, aunque la compañía fue notificada hasta el 23 de agosto por un grupo de expertos en forense digital. Según se ha informado, los actores de amenaza habrían usado un token de autorización en el servidor para acceder a los sistemas de la compañía sin necesidad de utilizar credenciales de acceso; posteriormente, los hackers realizaron un ataque de escalada de privilegios para obtener un mayor acceso a los sistemas de Hostinger.
Este ataque concedió a los actores de amenaza control total de un servidor API, presuntamente usado para consultar algunos detalles acerca de las cuentas de los clientes, como nombres, direcciones email, teléfonos, contraseñas cifradas y dirección IP de Hostinger. La compañía asegura que los datos financieros y la información sobre los dominios web de sus clientes no se ha visto afectada durante este incidente.
Los portavoces de la compañía aseguran que sus sistemas no almacenan detalles de las tarjetas de pago de sus clientes, pues esto es responsabilidad de un proveedor externo que cuenta con “las mejores certificaciones de seguridad”; Hostinger se abstuvo de revelar el nombre de estos proveedores. En un posterior informe de forense digital, la compañía mencionó que este acceso fue suprimido, la API fue asegurada y se están monitoreando los sistemas relacionados.
Sobre el acceso comprometido, los especialistas mencionan que un servidor podría generar un token de autorización con firma digital para verificar su autenticidad para acceder a un servidor como administrador. Por su parte, la compañía afirma que su investigación interna sigue en proceso: “estamos implementando nuevos protocolos de seguridad y estableciendo controles más estrictos para el acceso a nuestras redes y servidores”. Además, Balys Kriksciunas, CEO de Hostinger, menciona que aún se desconoce el número exacto de clientes afectados “debido a las características de esta brecha de seguridad”. La compañía ya ha notificado a la mayoría de clientes afectados vía email, además ha publicado constantes actualizaciones sobre el incidente a través de su página web y perfiles en redes sociales.
Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que existe el riesgo que la información comprometida pudiese ser utilizada en campañas de phishing, por lo que recomiendan a los usuarios potencialmente afectados mantenerse alertas sobre el envío de emails maliciosos, además de establecer controles más estrictos para el control de sus sitios web alojados en Hostinger, como autenticación multi factor, entre otros.