全球最流行的免費(fèi)Web 托管公司000Webhost遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，1350萬(wàn)用戶的個(gè)人數(shù)據(jù)泄露。

百科：000webhost

000webhost是國(guó)外著名空間商Hosting24旗下的免費(fèi)虛擬主機(jī)產(chǎn)品，號(hào)稱“比收費(fèi)虛擬主機(jī)更好用”。而確實(shí)如其所說(shuō)的，該空間非常優(yōu)質(zhì)和穩(wěn)定。而該空間提供商也見(jiàn)識(shí)到了中國(guó)人口之多，中國(guó)用戶申請(qǐng)到有一定難度。他的口碑也確實(shí)不錯(cuò)。000webhost提供的免費(fèi)服務(wù)：全能PHP空間1.5G ，支持PHP(不支持ASP)，支持綁定頂級(jí)域名，無(wú)任何廣告，獨(dú)立控制面板，免費(fèi)創(chuàng)建Mysql數(shù)據(jù)庫(kù)，F(xiàn)TP上傳下載，在線壓縮解壓，支持fopen()函數(shù)。

事件詳情

用戶泄露的信息包括用戶名、明文密碼、郵箱地址、IP地址、用戶真實(shí)的姓氏。000webhost在其官方Facebook上確認(rèn)了公司被黑客攻擊，確認(rèn)聲明如下：

我們已經(jīng)發(fā)現(xiàn)我們的主服務(wù)器上的數(shù)據(jù)庫(kù)被泄露。黑客是使用老版本PHP中含有的一個(gè)exp上傳一些文件，從而獲得訪問(wèn)的系統(tǒng)。盡管整個(gè)數(shù)據(jù)庫(kù)都被入侵了，但我們最擔(dān)心的是客戶信息。

澳大利亞安全研究員Troy Hunt從匿名來(lái)源處獲得了000webhost泄露的數(shù)據(jù)，并已經(jīng)確定了數(shù)據(jù)的真實(shí)性。

“毫無(wú)疑問(wèn)000webhost的泄露事件是真實(shí)的，用戶應(yīng)該知情。我更希望000webhost公司能自己通知其用戶信息已經(jīng)泄露。”

000webhost一直忽略專業(yè)人員的安全警告

之前Troy Hunt和Forbes記者曾不止一次的告訴000webhost公司存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)，然而他們卻沒(méi)有給予足夠多的重視，甚至忽略了他們的警告。

更嚴(yán)重的是什么?

000webhost甚至都沒(méi)有采取最基本、最標(biāo)準(zhǔn)的安全措施來(lái)保障用戶數(shù)據(jù)的安全。就在幾天前，英國(guó)手機(jī)通信及寬帶服務(wù)運(yùn)營(yíng)商TalkTalk也遭遇了嚴(yán)重的數(shù)據(jù)泄露，涉及400萬(wàn)用戶。

那么數(shù)據(jù)泄露能造成什么危害呢?

1，嚴(yán)重?fù)p害公司聲譽(yù)

2，喪失客戶的信任

3，數(shù)千美元的罰款

4，個(gè)人數(shù)據(jù)丟失可能造成永久性的傷害

5，暫時(shí)或者永久性的關(guān)閉

補(bǔ)救措施

處于安全考慮，000webhost應(yīng)該更改所有用戶的密碼(密碼要隨機(jī))，部署加密措施，但不要直接通知受影響的用戶;而受影響的用戶也要根據(jù)密碼重置步驟生成新的密碼。