Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gehashte wachtwoorden van 14 miljoen Hostinger-klanten zijn uitgelekt

Hostinger reset de wachtwoorden van veertien miljoen klanten omdat er is ingebroken op de servers van het webhostingbedrijf. De inbrekers hadden via een api toegang tot de persoonsgegevens en gehashte wachtwoorden.

Gebruikersnamen, e-mailadressen, naamgegevens, ip-adressen en gehashte wachtwoorden van de getroffen klanten waren zichtbaar, meldt Hostinger. Een ongeautoriseerde partij kreeg toegang tot een server van het bedrijf waar een autorisatietoken op stond voor een api die toegang gaf tot de database met de klantgegevens.

De webhoster zegt dat de wachtwoorden gehasht zijn, maar het is onduidelijk welk algoritme daarvoor is gebruikt. Hostinger claimt dat het resetten van de wachtwoorden enkel een voorzorgsmaatregel is. Betaalgegevens zijn niet in het geding geweest volgens het bedrijf. Betalingen worden afgehandeld door derden en betaalinformatie wordt niet opgeslagen op de servers van het bedrijf zelf. Ook zegt Hostinger dat er geen toegang is geweest tot gehoste sites en data van klanten.

Hostinger heeft zijn klanten ingelicht en geeft informatie over het lek op een blog. Het gat in de beveiliging is inmiddels gedicht en de webhoster zegt in contact te zijn met autoriteiten voor verdere afhandeling.

In totaal heeft Hostinger wereldwijd 29 miljoen klanten. Het bedrijf uit Litouwen is in 2004 opgericht en is ook eigenaar van 000Webhost, Niagahoster en Weblink. Hostinger is ook in Nederland actief, met een Nederlandse website.

Door Julian Huijbregts

Nieuwsredacteur

26-08-2019 • 10:46

47 Linkedin Google+

Submitter: lennardrk

Reacties (47)

Wijzig sortering
One Hostinger customer affected by the incident contacted the company to ask about the hashing algorithm used to scramble the passwords. The reply came that the data was hashed with SHA-1, and now SHA-2 is used for the reset passwords.

Bron:
https://www.bleepingcompu...ost-14-million-customers/
Ah mooi ik dacht dat even ze nog een stel werkende hersens hebben |:( allereerst is SHA1 nog SHA-265, geschikt voor wachtwoord hashing, bcrypt of nog liever Argon2i(d)! aangezien alleen salting en iteraties (vandaag de dag) niet (langer) voldoende zijn.

Hoewel dat natuurlijk niet hun eerste fout teniet doet, namelijk wachtwoorden doorgeven via een (publieke) API welke met een token is beveiligd. Het idee van authorizatie tokens is dat je ze kan intrekken als ze gelekt worden, zonder daarmee het wachtwoord te moeten veranderen.

Kennelijk hebben ze sinds hun oprichting en na het eerste incident vrijwel niks meer bijgeleerd van veiligheid, pappen en nat houden.
allereerst is SHA1 nog SHA-265, geschikt voor wachtwoord hashing

Ik heb nog de hoop dat men bedoelt PBKDF2 met SHA1 ...

Ja, de wens is de vader van de gedachte ... O-)
Gisteren deze mail ontvangen van Hostinger.

Hello,

We have reset your login password as a precautionary measure following a recent security incident. We are taking this extremely seriously and want to let you know what has happened and the immediate steps we have taken to protect your security.

Please click HERE to set Your new password.

During this incident, an unauthorized third party has gained access to our internal system API, one of which had access to hashed passwords and other non-financial data about our users. You can read more about the security incident in our blog post.

Your user data that has been affected by this security incident: username, IP address, first and last name, hashed password, and contact information (including email, address, phone number).

Your user data that has not been affected by this security incident: your financial data (including your credit card details); accounts and data stored on those accounts (websites, domains, hosted emails, etc.).

The investigation is still in its early stages. We have assembled a team of internal and external forensics experts and data scientists to investigate the origin of the incident and increase security measures of all Hostinger operations. As required by law, we are already in contact with the authorities.

All updates regarding this security incident will be posted in our blog, on our status page, and sent directly to you via email and across other channels.

We are sorry for any inconvenience caused.

If you have any further questions, please refer to Hostinger help center.

Yours,

Hostinger Team
Goh, ze leren er echt van.. nieuws: Plaintext-wachtwoorden miljoenen accounts gratis hostingbedrijf ligge...

'Een database met namen, e-mailadressen en plaintext-wachtwoorden van meer dan 13 miljoen klanten van de gratis hostingaanbieder 000webhost is op internet gezet. Het hostingbedrijf gaf de wachtwoorden aanvankelijk zonder er ruchtbaarheid aan te geven een reset.'
Nu ken ik niet de organisatie maar Hostinger is eigenaar van 000webhost, dit kan nog wel betekenen dat er een geheel ander beleid gevoerd wordt op organisatie en techniek (zie b.v. ook KPN vs XS4ALL).
Dat je dezelfde eigenaar hebt en dezelfde diensten biedt houdt niet in dat ze er allemaal het zelfde voorstaan.

Tevens was bij die hack de wachtwoorden beschikbaar in plaintext, bij deze zijn de wachtwoorden wel versleuteld. Dit stelt je niet 100% gerust maar geeft wel aan hoe een bedrijf bezig is met zijn beveiliging.
Dat ze het constateren en direct rapporteren doen velen al niet of niet direct.
Founded in Kaunas, Lithuania, the company was originally named Hosting Media. In 2011, it changed its name to Hostinger after reaching 1 million user milestone. Back in 2007, a subsidiary 000webhost was established, providing free web hosting worldwide, and in 2008, a US web hosting brand Hosting24 was launched with data centers in Asheville, NC, and UK. After rapid international expansion, another web hosting brand and a company was bootstrapped in Indonesia -Niagahoster.co.id, just before Hostinger International has reached 10 million user base. In 2014, Hostinger services were localized in 39 countries and a company in Brazil, together with a new brand – weblink.com.br, was established. A new data center and a company in Singapore was launched in October of the same year.
Een wachtwoord hashen is niet versleutelen.
Ze hebben er iets van geleerd, het is nu gehashed :P
alleen hebben de hackers genoeg informatie om een impersonatie te doen naar de supportdesk om zo te proberen bv het emailadres te veranderen en daarna een ww reset door te voeren of een phishing/social aanval te doen naar bedrijven via deze informatie.
LOL idd!

We're deeply sorry...and continue
... maar dan wel op de verkeerde manier.
Goh, ze leren er echt van..
Nu zijn de wachtwoorden immers gehashed en niet meer plaintext...

@svenslootweg Ik dacht dat ze niet hadden vrijgegeven welke hash ze hadden gebruikt...

[Reactie gewijzigd door Cergorach op 26 augustus 2019 16:37]

Ja, met een hashing-algoritme dat totaal ongeschikt is voor wachtwoordopslag, en daardoor triviaal te omzeilen valt.

Er is echt geen excuus om in 2019 met SHA1-gebaseerde wachtwoordhashing aan te komen zetten. Dan heb je gewoon je huiswerk niet gedaan. Dus nee, ze hebben er eigenlijk niets van geleerd, ondanks dat er wel wat veranderd is.
Tja. Andere hostingpartij he. Totaal geen link tussen die 2 behalve dat het concurenten zijn.

@sanderth die zin had ik inderdaad even gemist, my bad!

[Reactie gewijzigd door Robinvdh5 op 26 augustus 2019 10:59]

In totaal heeft Hostinger wereldwijd 29 miljoen klanten. Het bedrijf uit Litouwen is in 2004 opgericht en is ook eigenaar van 000Webhost, Niagahoster en Weblink. Hostinger is ook in Nederland actief, met een Nederlandse website.
Nou ja, andere hostingpartij.. Zo goed als dezelfde :+
Hostinger wereldwijd 29 miljoen klanten. Het bedrijf uit Litouwen is in 2004 opgericht en is ook eigenaar van 000Webhost, Niagahoster en Weblink.
Concurrent??
In totaal heeft Hostinger wereldwijd 29 miljoen klanten. Het bedrijf uit Litouwen is in 2004 opgericht en is ook eigenaar van 000Webhost, Niagahoster en Weblink. Hostinger is ook in Nederland actief, met een Nederlandse website.
In het artikel op tweakers (hierboven) staat dat Hostinger ook eigenaar is van 000Webhost, dus het is niet een andere hostingpartij. Het is een ander bedrijf maar met de zelfde eigenaar.

EDIT: Haha fijn als je een artikel leest, een reactie ziet en dan reageert. Maar tegelijkertijd zijn er anderen die precies hetzelfde zeggen :P

[Reactie gewijzigd door NoFearWizz op 26 augustus 2019 11:01]

@Goldwing1973 @NoFearWizz Ik heb m'n koffie inmiddels maar bijgeschonken, het was nodig :+
Haha :P no worries iedereen heeft wel eens een lastige maandag morgen
Als ik hun homepage probeer te openen zie ik dit :
DNS points to prohibited IP
What happened?
You've requested a page on a website (www.hostinger.com) that is on the Cloudflare network. Unfortunately, it is resolving to an IP address that is creating a conflict within Cloudflare's system.
Zijn ze geblokkeerd?
Vermoedelijk hebben ze, om hun site tijdelijk offline te halen, hun IP bij CF aangepast naar iets waarvan CF zegt 'hey dat kan niet'.
Hij is gelukkig weer online nu!
Krijg vanochtend van mijn vrouw de vraag wat te doen met de mail. Heb er maar meteen een groter wachtwoord op gezet (aangezien ik toch degene ben die haar website regel verder).
Maar moet zeggen dat de communicatie van Hostinger wel vrij duidelijk is geweest om mensen gerust te stellen. Dat scheelt wel. Tuurlijk zijn er altijd vragen, maar ze hebben volgens mij vrij snel gehandeld
De communicatie zou nog iets duidelijker zijn als ze gewoon open kaart speelde voor wat betreft de opslagmethode van wachtwoorden. Welke hash is er gebruikt en is deze gesalt? Dat soort informatie is alles behalve schadelijk en kan dus zonder problemen bekend worden gemaakt. Als men dat niet doet vrees ik vaak al het ergste.
Daar heb je gelijk in, maar voor de gewone mens zegt die info helemaal niets.
Dat zegt ze helemaal niets totdat je het uitlegt. Iets als "Uw wachtwoord is bij ons gehashed met het Bcrypt algoritme. De kans dat deze gekraakt wordt is vrijwel nihil." zou toch prima moeten kunnen. Het lijkt me sowieso best netjes als bij het bekendmaken van een hack een bepaalde risicoanalyse wordt gedaan. Er zijn persoonsgegevens gestolen dus er bestaat een kans dat je via de e-mail persoonlijk wordt aangesproken door mensen die je willen oplichten. Mensen horen te weten wat ze kunnen verwachten nadat hun persoonsgegevens zijn uitgelekt.
En je hebt haar verder nog gezegd op andere plekken ook het wachtwoord te wijzigen als ze daar hetzelfde wachtwoord gebruikt? En haar gelijk geadviseerd een wachtwoordmanager te gebruiken (mocht ze dat nog niet doen uiteraard)?
En je hebt haar verder nog gezegd op andere plekken ook het wachtwoord te wijzigen als ze daar hetzelfde wachtwoord gebruikt?
Natúúrlijk is het een goed advies, maar gelukkig is alleen de hash uitgelekt, niet het wachtwoord zelf. De risico's voor andere sites zijn daardoor gelukkig beperkt (maar niet nul !)
Daar is niets over te zeggen zonder te weten welk hashing algoritme, en of ieder record uniek gesalt was.
Als het ongesalte md5 hashes zijn, of de globale salt is bekend, dan is het voor de aanvaller heel interessant daar een collision-aanval op te doen.

[Reactie gewijzigd door frickY op 26 augustus 2019 13:22]

Ik probeer al enige tijd ze aan Enpass te krijgen. Het wachtwoord wat toevallig voor hier aan een specifiek mailadres hangt en een andere is dan ergens anders is gelukkig geen probleem.

Toevallig hierna vroeg ze of ik wilde helpen met de passwordmanager. Dus dat gaat goed komen. Ze was al wel bezig met andere wachtwoorden gebruiken, maar schoot nog niet op. Ikzelf ben al enige tijd bezig sinds de hack van onze homeserver. Er moet altijd iets gebeuren om overstag te gaan.
Vergeet niet alle andere plaatsen waar je ditzelfde wachtwoord gebruikt ook aan te passen, en gebruik dan iets dat je nergens anders gebruikt.
/spuit11

[Reactie gewijzigd door frickY op 26 augustus 2019 13:17]

Er valt niet zoveel gerust te stellen. De data is gelekt en klanten zijn zelf verantwoordelijk om een nieuw wachtwoord in te stellen. Ik zou niet zoveel vertrouwen meer hebben in dit bedrijf hoor.
Dus ieder bedrijf wat gehackt wordt is niet meer te vertrouwen? Zo lees ik het iig.
Ze hebben bewezen dat ze niet in staat zijn je vertrouwelijke gegevens te beschermen.
Dus ja, dat is een hele goede reden ze niet te vertrouwen.
Welke bedrijf wat aan het internet vastgeknoopt zit is dan wel te vertrouwen?
Nu is het misschien een script-kiddy die deze handel leegrooft, maar als ze vanuit China of Rusland even wat 'professioneler' personeel inzetten om je verzekeraar of bank van dergelijke informatie te ontfrutselen zijn ze ook ineens niet meer te vertrouwen?

Ik denk dat het belangrijker te weten is hoe bruikbaar de gegevens zijn. Nogal wiedes dat dit artikel niet vermeld hoe de wachtwoorden zijn gehashed, dat zou voor de hacker alweer een stapje minder zijn in het kraak-proces. (Maar ik ben geen hacker, misschien is het wel heel makkelijk te achterhalen).

Als die gegevens eerst 10 jaar door een quantumcomputer moeten worden bewerkt dan heb ik er meer vertrouwen in dan een website waar het gewoon in plain-text staat opgeslagen.
Waarom adviseren ze niet om 2-FA aan te zetten?
What our Clients can do to further secure their accounts

Following the password reset, we urge our Clients to choose strong passwords that are not utilized on other websites. Clients should be cautious of any unsolicited communications that may ask for your login details, personal information or refer you to a website asking for the above-mentioned information. We also strongly suggest to avoid clicking on the links or downloading attachments from suspicious emails.
2FA is niet gebruikersvriendelijk. De meeste mensen vinden het al moeilijk om een wachtwoord te onthouden, laat staan dat ze die nog eens moeten opvragen. Dan ook nog 2FA, waarbij ze en een wachtwoord moeten onthouden én een sms ontvangen of een authenticator op hun telefoon. En dan wisselen ze van nummer, zodat ze geen sms meer kunnen ontvangen en de enige manier om je telefoonnummer te veranderen is door in te loggen via 2FA.

Ik zit op deze website en ben dus geen knurft, ik vind het niet erg om een sms te ontvangen. Maar leer mij klanten kennen van een budgethost. Die moeten nog bekomen dat Frontpage niet meer werkt of vragen zich af waarom hun Flash website niet wordt getoond op een mobiel.
Het is niet gebruiksvriendelijk, maar is dat een reden om het niet aan te bieden? Ik zou in ieder geval beter slapen na zo’n incident als deze: bij mijn resources zijn ze dan waarschijnlijk niet gekomen.

** edit **

Gebruiksonvriendelijk hoeft het niet meer te zijn. Berichtje op Microsoft Authenticator: wil je inloggen? Groen voor ja, rood voor nee.

[Reactie gewijzigd door Muncher op 26 augustus 2019 12:47]

Ja, dat is een reden om het niet aan te bieden. Als 80% van je klantenbestand onnozelaars zijn, dan moet je daar voorzichtig mee omgaan. De reden dat een website is gehackt komt niet omdat die is gemaakt in Joomla 1.0 uit 2007, maar omdat 'de server' is gehackt 8)7

Ik heb zelf op een helpdesk gewerkt en je wil niet weten hoeveel mensen onkundig zijn. Elke stap die je als bedrijf vooruit zet, zorgt ervoor dat mensen die hopeloos achterblijven piswoest worden. Elke stap die andere bedrijven zetten om vooruit te blijven, zorgen ervoor dat mensen die hopeloos achterblijven piswoest worden. Want dat browsers geen Flash meer laten zien ligt natuurlijk aan de hostingprovider.

Zoals ik al zeg, ik heb niks tegen 2FA, ik onthou mijn wachtwoorden, ik wissel niet elk jaar van telefoonnummer. Maar 2FA zal voor veel mensen een absolute ramp zijn.
Hebben ze dat überhaupt?
Hopelijk zijn het salted hashes...
Hopelijk zijn het salted hashes...

Nou meer algemeen - welk algoritme. Als het een fatsoenlijk algoritme met meervoudige rounds en afhankelijk van het algoritme externe salt, is er weinig aan de hand.
Budgetboeren en Security... tja... :P
En vroeger sloegen ze alles gewoon op in plaintext. Gelukkig heb ik hier dan ook een uniek wachtwoord gebruikt en mijn spam-emailadres, maar man wat een zootje is het daar.
Die 14 miljoen zal wel veel kleiner zijn in werkelijk:

https://www.sitedeals.nl/...tingbedrijf-gehacked.html

Zie reactie van Iceblock.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True