Imgur hack: Λίγες μέρες μετά την παραδοχή της Uber για μια παραβίαση δεδομένων της που έγινε το 2016, και αφορά από 57 εκατομμύρια πελάτες, η επίσης δημοφιλής ιστοσελίδα κοινής χρήσης εικόνων αποκάλυψε έπεσε θύμε hacking το 2014.
Από την παραβίαση της υπηρεσίας Imgur υποκλάπηκαν διευθύνσεις ηλεκτρονικού ταχυδρομείου και κωδικοί πρόσβασης από 1,7 εκατομμύρια λογαριασμούς χρηστών.
Σε μια δημοσίευση στο blog της εταιρείας, η Imgur ισχυρίζεται ότι η ειδοποιήθηκε για την παραβίαση που έγινε πριν τρία χρόνια στις 23 Νοεμβρίου, όταν ένας ερευνητής ασφαλείας τους απέστειλε ένα email που περιείχε κλεμμένα δεδομένα.
Στη συνέχεια, ο Chief Operating Officer της Imgur (COO) ειδοποίησε τον ιδρυτή και τον Αντιπρόεδρο της εταιρείας πριν ξεκινήσει την επιβεβαίωση των δεδομένων.
Μετά την ολοκλήρωση της επικύρωσης των δεδομένων, η εταιρεία επιβεβαίωσε την Παρασκευή το πρωί ότι η παραβίαση δεδομένων του 2014 επηρέασε περίπου 1,7 εκατομμύρια λογαριασμούς χρηστών του Imgur (ένα μικρό μέρος της βάσης δεδομένων που περιέχει 150 εκατομμύρια χρήστες) και ότι οι πληροφορίες περιελάμβαναν μόνο διευθύνσεις ηλεκτρονικού ταχυδρομείου και κωδικούς πρόσβασης.
Λογικό γιατί η Imgur δεν ζητούσε πραγματικά ονόματα, αριθμούς τηλεφώνων, διευθύνσεις ή οποιεσδήποτε άλλες προσωπικές πληροφορίες αναγνώρισης.
Η εταιρεία ανέφερε ότι κλεμμένοι κωδικοί πρόσβασης είχαν κρυπτογραφηθεί με ένα παλιό αλγόριθμο κατακερματισμού τον SHA-256, ο οποίος μπορεί να σπάσει εύκολα με επιθέσεις brute force.
Ωστόσο, ο COG της Imgur, Roy Sehgal, δήλωσε ότι η υπηρεσία δεν χρησιμοποιεί πλέον τον SHA-256 αλλά ένα πολύ ισχυρότερο scrambler κωδικών πρόσβασης τον bcrypt από πέρυσι.
Η εταιρεία έχει αρχίσει να ενημερώνει ήδη τους επηρεαζόμενους χρήστες και τους απαιτεί να αλλάξουν κωδικό πρόσβασης, όσο εξακολουθεί να διερευνά πως προέκυψε το hacking.
Ο εμπειρογνώμονας ασφαλείας Troy Hunt ο οποίος ενημέρωσε την Imgur για το περιστατικό ανέφερε ότι οι τεχνικοί της ενήργησαν άμεσα, μετά την κοινοποίηση της παραβίασης.