Un chercheur indépendant a découvert une douzaine de failles de sécurité importantes exposant des millions de clients mais aussi des milliards de visiteurs.
Les pirates incitent les victimes à se rendre sur un lien ou un site web malveillant pour ensuite prendre facilement en main les comptes des personnes utilisant les services des fournisseurs d’hébergement concernés.
5 plateformes d’hébergements web identifiées
Ces 5 plateformes ont été identifiées comme étant vulnérables à une usurpation de compte, à des attaques XSS et à des divulgations d’informations.
Bluehost :
- fuite d’informations due à un mauvais paramétrage (CORS)
- usurpation de compte due à une mauvaise validation de certaines requêtes JSON
- usurpation de compte via une faille XSS
Dreamhost : usurpation de compte grâce à une faille XSS
HostGator :
- contournement de la protection CSRF permettant un contrôle total
- multiples erreurs de configuration du CORS entraînant des fuites d’informations et des CRLF
OVH :
- contournement de protection CSRF
- mauvaise configuration de l’API
IPage Hosting :
- faille permettant l’usurpation de compte
- multiples contournement possible de la politique de sécurité des contenus (CSP)
Suite à ce constat ces fournisseurs d’hébergement ont, à l’exception d’OVH, mis à jour leurs services avant que les informations ne soient rendues publiques.
Source : https://thehackernews.com/2019/01/web-hosting-server-security.html