Базирана в Лос Анджелис компания за уеб хостинг DreamHost нулира паролите за достъп до FTP и shell за всички свои клиенти в петък след откриване на неоторизирана дейност в една от неговите бази данни.
„Един от сървърите на бази данни на DreamHost беше незаконен достъп с помощта на експлойт, който не е бил досега известни или предотвратени от нашите многослойни системи за сигурност“, каза главният изпълнителен директор на DreamHost, Саймън Андерсън, в а блог пост в събота.
Въпреки че не може да бъде блокиран, неоторизираният достъп е открит от едно от проникванията на компанията системи за откриване (IDS), което позволява на неговия екип по сигурността да реагира бързо и да предприеме необходимото смекчаване стъпки.
Компанията уведоми своите клиенти за пробива в сигурността чрез имейл и ги информира, че само паролите, използвани за FTP и достъп до shell, са засегнати от пробива. Данните за фактуриране или лична информация не са били разкрити, каза DreamHost.
Клиентите на DreamHost използват три различни пароли за достъп до уеб административния панел, своя имейл и своите FTP/shell акаунти. Промяната на имейл паролите също беше препоръчана от компанията като предпазна мярка, но това не беше приложено.
Персоналът на DreamHost работи през целия петък, за да нулира всички FTP пароли за споделени хостинг акаунти, което доведе до някои ситуации, в които клиентите смениха паролите си сами, след като чуха за инцидента, само за да ги нулират по-късно през деня от компания.
Поради големия брой хора, които се опитват да променят своите пароли, уеб административният панел престана да реагира за ограничени периоди от време.
Цялата операция за нулиране на парола беше финализирана в петък вечерта за клиенти на споделен хостинг и в събота за клиенти на VPS (виртуален частен сървър). DreamHost твърди, че има над 300 000 клиенти по целия свят.
„Поради бързите действия, които предприехме, за да възстановим паролите, не виждаме необичайна злонамерена дейност в клиентските акаунти“, DreamHost каза чрез страницата си за състояние в неделя. „Нашият софтуер и системи за сигурност функционират нормално.“
Компанията ще продължи да наблюдава клиентските акаунти и техните уеб свойства за необичайна и потенциално злонамерена дейност, която може да е резултат от този инцидент. „Всички ще работим усилено през следващите дни, за да сведем до минимум всяко въздействие върху клиентите извън повторното задаване на паролата“, каза Андерсън.
Някои клиенти на DreamHost се оплакаха в отговор на съобщението на компанията, че техните уебсайтове наскоро са били заразени със зловреден софтуер. Фирмата за наблюдение на целостта на уебсайта Sucuri Security обаче каза, че тези инфекции не изглеждат свързани с този инцидент.
„Изчистихме доста от тези уебсайтове и повечето от тях бяха заразени чрез остарял софтуер, инсталиран от клиента“, каза съоснователят на Sucuri Андрес Армеда в блог пост. „Важната бележка, която трябва да вземете тук, е, че е изключително важно да сте сигурни, че поддържате сайтовете си актуализирани.“
Клиентите на DreamHost трябва също да променят своите пароли на други уебсайтове, където може да са използвали тях и трябва да бъдат нащрек за потенциални фишинг имейли, изпратени от хакери в компанията име.