Un chercheur indépendant a découvert une douzaine de failles de sécurité importantes exposant des millions de clients mais aussi des milliards de visiteurs.

Les pirates incitent les victimes à se rendre sur un lien ou un site web malveillant pour ensuite prendre facilement en main les comptes des personnes utilisant les services des fournisseurs d’hébergement concernés.

5 plateformes d’hébergements web identifiées

Ces 5 plateformes ont été identifiées comme étant vulnérables à une usurpation de compte, à des attaques XSS et à des divulgations d’informations.

Bluehost :

  • fuite d’informations due à un mauvais paramétrage (CORS)
  • usurpation de compte due à une mauvaise validation de certaines requêtes JSON
  • usurpation de compte via une faille XSS

Dreamhost : usurpation de compte grâce à une faille XSS

HostGator :

  • contournement de la protection CSRF permettant un contrôle total
  • multiples erreurs de configuration du CORS entraînant des fuites d’informations et des CRLF

OVH :

  • contournement de protection CSRF
  • mauvaise configuration de l’API

IPage Hosting :

  • faille permettant l’usurpation de compte
  • multiples contournement possible de la politique de sécurité des contenus (CSP)

Suite à ce constat ces fournisseurs d’hébergement ont, à l’exception d’OVH, mis à jour leurs services avant que les informations ne soient rendues publiques.

Source : https://thehackernews.com/2019/01/web-hosting-server-security.html