hacking
Foto: Ivan David Gomez Arce (CC)

Över 13 miljoner okrypterade lösenord och e-postadresser cirkulerar just nu på nätet, efter att litauiska 000webhosts databas hackats, rapporterar Forbes. Det är inte så konstigt, sajten har av allt att döma nästintill obefintlig säkerhet.

Om du söker ”free hosting” eller liknande är 000webhosts ett av de första alternativen som poppar upp. Sajten är ett av nätets största gratis webbhotell, och om du någon gång registrerat dig där är det dags att byta lösenord.

Läckan uppdagades efter att Troy Hunt, som driver sajten Have I been pwned?, fick ett tips. Enligt obekräftade uppgifter ska databasen ligga ute till salu för 2 000 dollar, och intrånget ska ha skett i mars i år med hjälp av läckta uppgifter från en av sajtens administratörer.

Läs också: Lösenordshanteraren Lastpass har blivit hackad

Men den stora överraskningen är kanske att databasen inte stulits tidigare. Både Forbes och Troy Hunt har granskat 000webhosts säkerhet, och kommit fram till samma sak: den är under all kritik.

Till att börja med lagras alla användarnamn och lösenord helt okrypterat i klartext, och sajten använder plattformen Vbulletin 3.8.2 – en version som inte uppdaterats sedan 2009 och har kända säkerhetsbrister.

En annan katastrofalt korkad miss är registreringsformuläret. När du skriver in dina uppgifter och går vidare genom formuläret så sparas all information, inklusive ditt lösenord, i adressfältet. Det räcker alltså med en titt på din webbhistorik eller 000webhosts aktivitetslogg för att se exakt hur man loggar in på ditt konto.

Webbhotellet är ett dotterbolag till Hostinger, som länge vägrade lämna en kommentar till journalisterna. Först efter Forbes publicerade en artikel gick de ut med information om läckan och att kundernas konton låsts.

Läs också: Studenter hackade pacemaker och tog död på människa - i simulator

”Vi har bevittnat ett databasintrång på vår huvudserver. En hackare utyttjade en brist i en gammal PHP-version av hemsidan och fick tillgång till våra system, och röjde över 13,5 miljoner av våra kunders personliga konton. Den stulna datan inkluderar användarnamn, e-postadresser, IP-adresser och namn”, skriver 000webhosts på Facebook.

Hostingers chef Arnas Stuopelis har även skrivit till Forbes att de polisanmält intrånget, och jobbar på att återställa tjänsten. Företagets egen totala oaktsamhet klassas dock förmodligen inte som ett brott.

Om du vill veta om dina uppgifter finns med i läckan kan du göra en sökning på Have I been pwned?.