Popularni servis za deljenje slika Imgur hakovan 2014., kompanija za to saznala tek prošle nedelje

Vesti, 27.11.2017, 01:00 AM

Samo nakon nekoliko dana pošto je Uber priznao da je hakovan prošle godine i da je kompanija više od godinu dana krila da su kompromitovani podaci 57 miliona njenih korisnika, i popularni servis za razmenu slika Imgur otkrio je da je 2014. godine pretrpeo napad u kome su kompromitovane email adrese i lozinke 1,7 miliona korisničkih naloga.

Imgur tvrdi da je kompanija tek 23. novembra saznala za napad koji se dogodio pre tri godine kada ih je o tome emailom obavestio bezbednosni istraživač kome su poslati ukradeni podaci korisnika servisa.

Imgurov izvršni direktor je odmah o ovome obavestio osnivača kompanije pre nego što je započeta provera da li podaci zaista pripadaju korisnicima Imgura.

Kada je zavšena provera, kompanija je u petak objavila saopštenje da je napad na servis koji se dogodio 2014. uticao na oko 1,7 miliona korisničkih naloga servisa koji ima oko 150 miliona korisnika i da su kompromitovane samo email adrese i lozinke.

Pošto Imgur nikada nije tražio prava imena korisnika, telefonske brojeve, adrese ili bilo koje druge informacije koje bi mogle otkriti identitet korisnika, nikakve druge lične informacije nisu kompromitovane u tome napadu.

Kompanija je takođe saopštila da su ukradene lozinke bile zaštićene SHA-256 algoritmom, što znači da su napadači lako mogli otkriti lozinke brute force tehnikom.

Međutim, iz Imgura tvrde da je prošle godine SHA-256 zamenjen mnogo jačim bcrypt algoritmom.

Kompanija je započela sa obaveštavanjem korisnika čiji su nalozi kompromitovani i koji su sada primorani da promene lozinke.

Onima koji koriste istu kombinaciju email adrese i lozinke na više sajtova i aplikacija savetuje se da promene lozinke i za druge sajtove i aplikacije.

Još uvek nije jasno kako je ovaj incident ostao neprimećen toliko dugo. Imgur i dalje istražuje ovaj incident a iz kompanije su obećali da će objaviti više detalja o tome kada bude utvrđeno šta se tačno dogodilo.

Stručnjak za sigurnost Troj Hant, koji je obavestio Imgur o ovom incidentu, pohvalio je kompaniju zbog toga što je brzo odgovorila na njegovo upozorenje, ali i zbog toga što je javno objavila da su podaci njenih korisnika kompromitovani. Hant kaže da je prošlo tačno 25 sati i 10 minuta od trenutka kada je poslao email Imguru do trenutka kada je kompanija, koja je morala da mobiliše svoje zaposlene tokom praznika, resetovala lozinke i objavila vest o napadu. Hant kaže da je kompromitovanje podataka "nova normalnost" i da se sada kompanijama sudi ne na osnovu činjenice da su pretrpele kompromitovanje podataka, već po tome kako se ponašaju kada se to dogodi.

Imgur je još jedna u nizu kompanija koje su pretrpele kompromitovanje podaka koja su se dogodila pre više godina a za koje se saznalo tek ove godine. Na spisku takvih kompanija nalaze se i Yahoo, Uber, LinkedIn, Disqus i MySpace.