La información de casi 14 millones de usuarios de 000webhost, un servicio de alojamiento web de Lituania, fueron divulgados a principios del año cuando un atacante explotó una versión obsoleta del sitio web de la compañía y ganó acceso al backend (programación del lado del servidor).

13.5 millones de nombres de usuarios, contraseñas en texto plano, correos electrónicos, direcciones IP y nombres de clientes fueron expuestos como parte de la brecha de seguridad, de acuerdo con lo que se publicó en el Facebook de la compañía.

000webhost divulgó por primera vez la brecha el miércoles 28 de octubre en una publicación de Facebook, pero dio pocos detalles. Declaró que en algún momento un atacante usó un exploit en una versión vieja de PHP del sitio de la compañía y que subió algunos archivos.

"Aunque toda la base de datos ha sido comprometida, estamos más preocupados por la información filtrada de los clientes", escribió la compañía, añadiendo que desde que se descubrió el problema han reseteado las contraseñas de los usuarios y les han advertido a aquellos que utilizaron la misma contraseña en otros servicios para que las cambien.

La compañía afirma que ha iniciado una investigación sobre la brecha, pero no ha dado una línea de tiempo ni ha mencionado si se involucraron agencias judiciales.

Paradójicamente, 000webhost declara que los sitios de sus clientes seguirán en línea durante la investigación, pero también dice que ha deshabilitado temporalmente la mayoría de sus sistemas en lo que se resuelve la situación.

"En un esfuerzo por proteger a nuestros usuarios, hemos bloqueado temporalmente todo acceso a los sistemas afectados por esta falla de seguridad. El acceso a los sistemas afectados se rehabilitará después de una investigación y una vez que todos los problemas de seguridad hayan sido resueltos", dice la publicación.

La compañía enfatiza que las compañías socias, Hosting24 y Hostinger, no se vieron afectadas por la brecha.