Amerykański host internetowy Dreamhost przyznaje we wpisie na blogu, że znalazł naruszenie bezpieczeństwa na jednym ze swoich serwerów baz danych. Został użyty przez hakerów w piątek rano w zeszłym tygodniu, aby uzyskać swoje hasła. Dreamhost prosi teraz wszystkich klientów o zmianę haseł przez e-mail.

Błąd tkwił zatem w kreatorze, który miał jednym kliknięciem skonfigurować jeden z systemów zarządzania treścią WordPress lub Drupal na serwerze klienta. Dotyczy to wszystkich klientów, którzy korzystali z tej pomocy instalacyjnej.

W oświadczeniu dyrektora generalnego Simona Andersona: „Nasze systemy przechowują i używają zaszyfrowanych haseł od wielu lat. Jednak ten haker odkrył starą kolekcję niezaszyfrowanych haseł w bazie danych, która nie została jeszcze usunięta. Teraz upewniliśmy się, że takie niezaszyfrowane stare pliki nie są już dostępne w żadnym z naszych systemów. Badamy również inne środki, aby zapewnić bezpieczeństwo haseł, na przykład, gdy klient zażąda hasła przez e-mail (co nie było tutaj problemem).”

Klienci powinni teraz przełączać zarówno hasła powłoki, jak i FTP oraz hasła e-mail. Jak dotąd nie pojawiły się żadne doniesienia o niewłaściwym wykorzystaniu skradzionych danych.