Firma hostingowa z siedzibą w Los Angeles DreamHost zresetować hasła dostępu do FTP i powłoki dla wszystkich swoich klientów w piątek po wykryciu nieautoryzowanej aktywności w jednej z baz danych.
„Do jednego z serwerów baz danych DreamHost uzyskano nielegalnie dostęp przy użyciu exploita, którego wcześniej nie było znane lub którym zapobiegają nasze warstwowe systemy bezpieczeństwa ”- powiedział dyrektor generalny DreamHost, Simon Anderson, w A post na blogu w sobotę.
Mimo że nie można było go zablokować, nieautoryzowany dostęp został wykryty przez jednego z włamań firmy systemów detekcji (IDS), umożliwiając zespołowi ds. bezpieczeństwa szybką reakcję i podjęcie niezbędnych środków zaradczych kroki.
Firma powiadomiła swoich klientów o naruszeniu bezpieczeństwa za pośrednictwem poczty elektronicznej i poinformowała ich, że naruszenie dotyczyło tylko haseł używanych do dostępu do FTP i powłoki. Dane rozliczeniowe ani dane osobowe nie zostały ujawnione, powiedział DreamHost.
Klienci DreamHost używają trzech różnych haseł, aby uzyskać dostęp do panelu administracyjnego WWW, poczty e-mail i konta FTP/shell. Firma zalecała również zmianę haseł do poczty e-mail jako środek ostrożności, ale nie została ona wyegzekwowana.
Personel DreamHost pracował przez cały piątek, aby zresetować wszystkie hasła FTP do współdzielonych kont hostingowych, co doprowadziło do pewnych sytuacji, w których klienci samodzielnie zmienili swoje hasła po usłyszeniu o incydencie tylko po to, by je zresetować później w ciągu dnia do godz firma.
Ze względu na dużą liczbę osób próbujących zmienić swoje hasła, webowy panel administracyjny na określony czas przestał odpowiadać.
Cała operacja resetowania hasła została sfinalizowana w piątek wieczorem dla klientów hostingu współdzielonego oraz w sobotę dla klientów VPS (virtual private server). DreamHost twierdzi, że ma ponad 300 000 klientów na całym świecie.
„Dzięki szybkiej akcji, jaką podjęliśmy w celu zresetowania haseł, nie obserwujemy żadnej niezwykłej złośliwej aktywności na kontach klientów” — DreamHost powiedział za pośrednictwem swojej strony statusu w niedzielę. „Nasze oprogramowanie zabezpieczające i systemy działają normalnie”.
Firma będzie nadal monitorować konta klientów i ich usługi internetowe pod kątem nietypowych i potencjalnie złośliwych działań, które mogą być wynikiem tego incydentu. „W nadchodzących dniach wszyscy będziemy ciężko pracować, aby zminimalizować wpływ na klientów poza zresetowaniem hasła” – powiedział Anderson.
Niektórzy klienci DreamHost skarżyli się w odpowiedziach na ogłoszenie firmy, że ich strony internetowe zostały niedawno zainfekowane złośliwym oprogramowaniem. Jednak Sucuri Security, firma monitorująca integralność witryn, stwierdziła, że te infekcje wydają się nie mieć związku z tym incydentem.
„Wyczyściliśmy sporo z tych stron internetowych, a większość z nich została zainfekowana przez przestarzałe oprogramowanie zainstalowane przez klienta” — powiedział współzałożyciel Sucuri, Andres Armeda. post na blogu. „Ważną uwagą, którą należy tutaj wziąć, jest to, że niezwykle ważne jest, aby aktualizować witryny”.
Klienci DreamHost powinni również zmienić swoje hasła na innych stronach internetowych, z których mogli korzystać je i należy uważać na potencjalne e-maile phishingowe wysyłane przez hakerów w firmie nazwa.