Datalek Hostinger raakt 14 miljoen gebruikers

Webhostingsbedrijf Hostinger heeft de wachtwoorden van gebruikers gereset. Dit gebeurde nadat derden ongeautoriseerde toegang wisten te verkrijgen tot een database die de gegevens van meerdere miljoenen gebruikers bevatte.

In een blogpost van het bedrijf wordt gemeld dat het incident plaatsvond op 23 augustus. Externen wisten via een gehackte server een toegangstoken te bemachtigen waarmee ze het systeem van het bedrijf binnen konden dringen. Dit betekende op zijn beurt dat cybercriminelen toegang kregen tot een API van het interne systeem van Hostinger. Daarin waren gehashte wachtwoorden en andere gebruikersgegevens te zien voor cybercriminelen. Andere gegevens die lekten waren onder andere e-mails, gebruikersnamen en voornamen van 14 miljoen klanten.

Hostinger meldt verder dat alle financiële gegevens van gebruikers niet op straat zijn komen te liggen, omdat betalingen via third-party providers plaatsvinden. Verder laat het bedrijf weten dat Hostinger Client-accounts en de bijbehorende data ook niet in gevaar zijn gekomen.

Onderzoek naar beveiliging

Intern is er een onderzoeksgroep gevormd met de hulp van externe experts om erachter te komen hoe het datalek is ontstaan. Vanuit de resultaten van het onderzoek zullen de beveiligingsmaatregelen bij Hostinger worden aangepast en/of verbeterd. Getroffen gebruikers hebben ondertussen allemaal een e-mail gekregen waarin gemeld wordt dat ze een wachtwoordverandering moeten uitvoeren. Hostinger drukt gebruikers op het hart om wachtwoorden te kiezen die moeilijk te kraken zijn. Ook het gebruik van gerecyclede wachtwoorden wordt sterk afgeraden.

TechCrunch meldt dat het bedrijf het SHA-1 algoritme gebruikte voor het ‘scramblen’ (husselen) van wachtwoorden. Dit algoritme is echter al enige tijd achterhaald door het SHA-2 algoritme. Ook is het SHA-1 algoritme kwetsbaar voor ‘spoofing’, het vervalsen van gebruikersgegevens door cybercriminelen. Ondertussen is het SHA-1 algoritme overigens vervangen door SHA-2.