La empresa proveedora de hosting fue víctima de una brecha de seguridad y comunica que reseteó todas las contraseñas de acceso a Hostinger como precaución  Hostinger es una conocida empresa que ofrece servicios de hosting a más de 29 millones de usuarios en más de 178 países. En un comunicado publicado, la compañía confirmó que fue víctima de un incidente de seguridad y que detectaron un acceso no autorizado a la API de su sistema interno, donde estaban almacenadas contraseñas (hasheadas con SHA1) de los clientes de Hostinger así como información no financiera de los mismos.









El 23 de agosto de 2019 recibieron alertas de que un tercero no autorizado, había conseguido acceder a uno de los servidores de Hostinger. Este servidor contenía un token de autorización, por lo que se usó para obtener mayores privilegios de acceso realizando una escalada de privilegios en su API RESTful del sistema. Esta API se ha utilizado para consultar los detalles privados de sus clientes y sus cuentas.



En el boletín que publicaron, informan que decidieron reiniciar las contraseñas todas esas cuentas de clientes como una medida de protección. Además de las cuentas de clientes, también han reiniciado contraseñas internas y proceden a investigar el motivo exacto de la falla y reforzar algunos procesos.



Afortunadamente, según informan, la información financiera (datos bancarios) de los clientes está a salvo ya que los pagos los procesan mediante un servicio de terceros. Hostinger informa no almacena ese tipo de información. Aunque un representante de atención al cliente informó que mediante la API se obtienen datos financieros del cliente aunque no guardan ninguna información sobre los pagos. Esa información sería accesible mediante una API. Una controversia sobre la que no aportan más información.

Todos los clientes fueron notificados por correo electrónico respecto del reinicio de contraseña e informando lo sucedido. . Asimismo, se recomienda prestar especial atención a los correos que se reciban y evitar descargar adjuntos o abrir enlaces si no estamos seguros de la legitimidad de los mensajes.





Según informa Techcrunch, Hostinger almacenaba las contraseñas con el algoritmo SHA-1, que hace algunos años fue dejado de ser considerado seguro, y reemplazado por SHA-2 que es más seguro.

Hostinger tiene planeado implementar un segundo factor de autenticación para asegurar el acceso a las cuentas. Con ello, no sería suficiente con conocer el usuario y contraseña para ingresar a los datos y administración del servicio de un cliente.

• https://statuspage.hostinger.com/