知名免費網站代管服務業者000webhost近日驚傳遭到駭客入侵,000webhost已證實駭客存取了該站的資料庫。而資安研究人員Troy Hunt則說,已有超過1300萬筆的000webhost帳號資料外洩。
000webhost為一免費的網站代管服務,提供1500MB的硬碟空間與100GB的資料傳輸容量,標榜未嵌入廣告且服務品質更勝付費服務。
Hunt說明,他最近收到一個訊息,宣稱有一名駭客在5個月前駭進000webhost,並握有000webhost的資料庫內容,內含1300萬筆的用戶姓名、電子郵件帳號及明文密碼。他用了許多方法來驗證000webhost的資料庫是否外洩,包括以所取得的帳號嘗試登入,在確定之後即準備通知000webhost,卻找不到窗口,於是請記者代為聯繫000webhost的母公司,仍舊毫無下文。Hunt原本就建立「我被駭了嗎?」(Have I been pwned? )網站供使用者查詢,現在也已將這些資料加入該網站。
000webhost則是在周四(10/29)證實了在周二(10/27)發現公司伺服器遭到駭客入侵。駭客利用舊的PHP版本漏洞攻擊該公司網站,上傳某些檔案並取得系統存取權限,導致整個資料庫遭到危害,洩露了1350萬筆客戶的個人資料,包括帳密、電子郵件,IP,以及名稱。000webhost先是移除駭客所上傳的非法網頁,並變更用戶的所有密碼,要求用戶重設密碼,以及改變在其他網站所使用的相同帳號與密碼。(編譯/陳曉莉)