Imgur是創辦于美國俄亥俄州阿森斯市(Athens, Ohio)的一個在線圖片分享網站,因其免費開放、不限上傳圖片的流量和大小、支持格式多(JPEG、 GIF、PNG、TIFF、BMP、PDF、XFC等)、界面清爽干凈且可編輯的屬性,受到很多人歡迎。
似乎大型的社交網站都難逃被黑的命運,以前我們曾報道過Yahoo、LinkedIn、MySpace、 Facebook、Instagram等流行社媒的信息泄露事件或相關漏洞,引起了用戶警惕。近日,Imgur 也公開承認自家網站在 2014 年被黑,共泄露了約 170 萬的用戶信息。此事與 Uber 被曝花錢收買黑客掩蓋信息泄露事件相隔不到一周,看起來著實耐人尋味。
Imgur 表示,2014 年其網站曾遭黑客攻擊,170 萬用戶的郵箱、密碼、賬戶名等遭泄露,不過與其 1.5 億的龐大用戶相比,170 萬站的比例很小。 Imgur 首席運營官 Roy Sehgal 也聲明,由于 Imgur 網站“從未要求”用戶填寫真實姓名、住址、手機號等個人信息,因此,泄露的信息并不涉及用戶的隱私。
數據泄露至今已有三年多的時間,直到 11 月 23 日感恩節當天,運行Have I Been Pwned(國外安全檢查網站,在網站輸入郵箱后可檢測賬號是否在泄露賬號列表中,并列出泄露站點)的知名專家特洛伊·亨特(Troy Hunt)收到泄露的數據,并告知 Imgur,事件才浮出水面。11 月 24 日,Imgur 著手重置受影響賬戶的密碼,并發布了數據泄露通知:
11 月 23 日,Imgur 被告知 2014 年出現過信息泄露事件,170 萬個用戶帳戶相關的電子郵件地址和密碼遭泄露。目前事件仍在積極調查中,我們在此第一時間告知您目前的狀況以及我們采取的應對措施。
Imgur 表示對于數據庫中的密碼都采取了加密保護。但是,使用 SHA-256 哈希算法的密碼很可能被暴力破解。在 2015 年,Imgur 就已經升級了加密算法,使用新的、更安全的 bcrypt 加密工具。不過,Imgur 還是建議用戶盡量修改密碼,
目前,Imgur 還在調查此事,尚不清楚網站究竟如何被入侵,也不明確為何是數據泄露為何三年后才被發覺。
不過,由于 Imgur 對此事積極、迅速的響應,得到了 Hunt 的贊許:
我很認為 Imgur 公司的做法很好:距離我第一封通報郵件僅 25 小時 10 分鐘,他們就查清了泄露的數據量、重置了密碼并向公眾發布了通知。很棒!
其實我們現在所處的環境正是如此:人們認識到數據泄露是“新常態”,因此,企業發生數據泄露并不會影響人們對企業的看法,他們更關注的是企業的響應方式。
Hunt 還透露了一些其他信息,目前,Have I Been Pwned 的數據庫共有超過 48 億條記錄,已經收錄了此次泄露事件中 60% 的郵箱地址。如果 Imgur 的用戶先要確認自己的賬號是否收到影響,可以使用 Have I Been Pwned 的數據泄露通知服務查詢。
京公網安備 11010502049343號