Los Angelesissa toimiva web-isännöintiyritys DreamHost nollaa kaikkien asiakkaidensa FTP- ja shell-salasanat perjantaina havaittuaan luvattoman toiminnan yhdessä tietokannastaan.
"Yhtä DreamHostin tietokantapalvelimia käytettiin laittomasti käyttämällä hyväksikäyttöä, jota ei aiemmin käytetty kerrostetut turvajärjestelmämme tuntevat tai estävät", DreamHostin toimitusjohtaja Simon Anderson sanoi. a blogipostaus lauantaina.
Vaikka sitä ei voitu estää, yksi yrityksen tunkeutumisesta havaitsi luvattoman käytön havaitsemisjärjestelmät (IDS), joiden avulla sen turvallisuustiimi voi reagoida nopeasti ja ryhtyä tarvittaviin torjuntatoimiin askeleet.
Yhtiö ilmoitti asiakkailleen tietoturvaloukkauksesta sähköpostitse ja kertoi heille, että vain FTP- ja shell-käyttöön käytettyjä salasanoja oli haittaa. Laskutus- tai henkilökohtaisia tietoja ei paljastettu, DreamHost sanoi.
DreamHost-asiakkaat käyttävät kolmea eri salasanaa päästäkseen Web-hallintapaneeliin, sähköpostiinsa ja FTP/shell-tileihinsä. Yhtiö suositteli myös sähköpostin salasanojen vaihtamista varotoimenpiteenä, mutta sitä ei pakotettu.
DreamHostin henkilökunta työskenteli perjantain ajan nollatakseen kaikki jaettujen hosting-tilien FTP-salasanat, mikä johti joihinkin tilanteisiin, joissa Asiakkaat vaihtoivat salasanansa itse kuultuaan tapauksesta ja nollasivat ne myöhemmin samana päivänä yhtiö.
Koska suuri määrä ihmisiä yritti vaihtaa salasanojaan, Web-hallintapaneeli lakkasi vastaamasta rajoitetuksi ajaksi.
Koko salasanan palautusoperaatio saatiin päätökseen perjantai-iltana jaetun hosting-palvelun asiakkaille ja lauantaina VPS-asiakkaille (virtuaalinen yksityinen palvelin). DreamHost väittää, että sillä on yli 300 000 asiakasta maailmanlaajuisesti.
"Nopeiden salasanojen nollaustoimien ansiosta emme näe mitään epätavallista haitallista toimintaa asiakastileillä", DreamHost sanoi tilasivullaan sunnuntaina. "Turvaohjelmistomme ja järjestelmämme toimivat normaalisti."
Yhtiö jatkaa asiakastilien ja heidän verkko-omaisuuksiensa seurantaa epätavallisen ja mahdollisesti haitallisen toiminnan varalta, joka saattaa johtua tästä tapauksesta. "Teemme kaikki lujasti töitä tulevina päivinä minimoidaksemme kaikki vaikutukset asiakkaisiin salasanan nollauksen jälkeen", Anderson sanoi.
Jotkut DreamHostin asiakkaat valittivat vastauksissaan yrityksen ilmoitukseen, että heidän verkkosivustonsa olivat äskettäin saaneet haittaohjelmia. Verkkosivustojen eheyden valvontayritys Sucuri Security sanoi kuitenkin, että nämä infektiot eivät näytä liittyvän tähän tapaukseen.
"Olemme puhdistaneet useita näistä verkkosivustoista, ja useimmat niistä ovat saaneet tartunnan asiakkaan asentaman vanhentuneen ohjelmiston kautta", Sucurin perustaja Andres Armeda sanoi. blogipostaus. "Tässä on tärkeä huomioida, että on erittäin tärkeää varmistaa, että pidät sivustosi ajan tasalla."
DreamHost-asiakkaiden tulee myös vaihtaa salasanansa muilla verkkosivustoilla, joilla he ovat saattaneet käyttää niitä ja heidän tulee etsiä mahdollisia tietojenkalasteluviestejä, joita yrityksen hakkerit lähettävät nimi.