تنها پس از چند روز از تایید اوبر مبنی بر نقض داده ی ۵۷ میلیون مشتری در سال گذشته، وب گاه محبوب به اشتراک گذاری عکس افشاء کرد که در سال ۲۰۱۴ میلادی یک نقض داده ی بزرگ را متحمل شده است که در نتیجه ی آن، آدرس ایمیل و پسورد ۱٫۷ میلیون حساب کاربری به خطر افتاده است. در یک پست وبلاگی منتشر شده در روز جمعه، Imgur ادعا کرد که این شرکت در تاریخ ۲۳ نوامبر، از یک نقض داده ی سه ساله مطلع شده است.
پس از تکمیل اعتبارسنجی دادهها، این شرکت صبح جمعه صبح تایید کرد که نقض دادهی سال ۲۰۱۴ میلادی، تقریبا ۱٫۷ میلیون حساب کاربری Imgur را تحت تاثیر قرار داده (بخش کوچکی از ۱۵۰ میلیون کاربر آن) و اطلاعات به خطرافتاده شامل آدرسهای ایمیل و گذرواژهها بوده است. از آنجایی که Imgur هرگز اسم واقعی افراد، شمارهی تلفن، آدرس یا هرگونه اطلاعات شناسایی شخصی (PII) دیگر را درخواست نکرده است، هیچگونه اطلاعات شخصی دیگری در این نقض داده، افشاء نشده است.
این شرکت همچنین گفت که پسوردهای به سرقترفته با الگوریتم قدیمی SHA-256، درهمسازی شده بودند که میتواند بهراحتی با استفاده از حملات جستجوی فراگیر شکسته شوند. با این حال، مدیر ارشد Imgur گفت که این وبسایت در سال گذشته از الگوریتم bcrypt بهجای الگوریتم قدیمی SHA-256 برای درهمسازی پسوردها استفاده میکند.
این سرویس به اشتراکگذاری عکس گفت: «ما همیشه پسوردهای شما را در پایگاه دادهی خود رمزنگاری کردهایم، اما با توجه به الگوریتمهای درهمسازی قدیمی (SHA-256) که در آن زمان مورد استفاده قرار میگرفت، ممکن است با یک حملهی جستجوی فراگیر، پسوردهای شما شکسته شده باشند. ما در سال گذشته الگوریتم خود را به الگوریتم جدید bcrypt بهروز کردیم.» این شرکت همراه با اعمال تغییرات در پسوردها، اطلاعرسانی به کاربران آسیبدیده را آغاز کرده است.
علاوه بر این، به افرادی که از همان ترکیب آدرس ایمیل و پسورد در چندین وبگاه و برنامه استفاده میکنند، نیز توصیه میشود که پسوردهای خود بر روی سرویسهای دیگر را نیز تغییر دهند. هنوز معلوم نیست که چگونه این نقض داده تقریبا سه سال قبل رخ داده و نادیده گرفته شده است. Imgur با جدیت تمام، در مورد این نفوذ تحقیق کرده و به محض دسترسی به آن، جزئیات را به اشتراک خواهد گذاشت.
تروی هانت، کارشناس امنیتی که در مورد این رویداد به Imgur اطلاع داده بود، از این شرکت بهدلیل پاسخ سریع خود به اعلان مربوط به نقض و افشای نقض داده تمجید کرد. هانت توئیت کرد: « 25 ساعت و ۱۰ دقیقه از ایمیل اولیهی من به آدرس این شرکت میگذشت که آنها مردم را در طول روز شکرگزاری بسیج کرده و اطلاعات را ارزیابی کردند، بازنشانی پسوردها را آغاز و یک افشای عمومی ترتیب دادند!»