وب‌سایت محبوب به اشتراک‌گذاری عکسِ Imgur، در سال ۲۰۱۴ میلادی مورد نفوذ قرار گرفته است

 

تنها پس از چند روز از تایید اوبر مبنی بر نقض داده ی ۵۷ میلیون مشتری در سال گذشته، وب گاه محبوب به اشتراک گذاری عکس افشاء کرد که در سال ۲۰۱۴ میلادی یک نقض داده ی بزرگ را متحمل شده است که در نتیجه ی آن، آدرس ایمیل و پسورد ۱٫۷ میلیون حساب کاربری به خطر افتاده است. در یک پست وبلاگی منتشر شده در روز جمعه، Imgur ادعا کرد که این شرکت در تاریخ ۲۳ نوامبر، از یک نقض داده ی سه ساله مطلع شده است.


پس از تکمیل اعتبارسنجی داده‌ها، این شرکت صبح جمعه صبح تایید کرد که نقض داده‌ی سال ۲۰۱۴ میلادی، تقریبا ۱٫۷ میلیون حساب کاربری Imgur را تحت تاثیر قرار داده (بخش کوچکی از ۱۵۰ میلیون کاربر آن) و اطلاعات به خطرافتاده شامل آدرس‌های ایمیل و گذرواژه‌ها بوده است. از آنجایی که Imgur هرگز اسم واقعی افراد، شماره‌ی تلفن، آدرس یا هرگونه اطلاعات شناسایی شخصی (PII) دیگر را درخواست نکرده است، هیچ‌گونه اطلاعات شخصی دیگری در این نقض داده، افشاء نشده است.


این شرکت همچنین گفت که پسوردهای به سرقت‌رفته با الگوریتم قدیمی SHA-256، درهم‌سازی شده بودند که می‌تواند به‌راحتی با استفاده از حملات جستجوی فراگیر شکسته شوند. با این حال، مدیر ارشد Imgur گفت که این وب‌سایت در سال گذشته از الگوریتم bcrypt به‌جای الگوریتم قدیمی  SHA-256 برای درهم‌سازی پسوردها استفاده می‌کند.


این سرویس به اشتراک‌گذاری عکس گفت:‌ «ما همیشه پسوردهای شما را در پایگاه داده‌ی خود رمزنگاری کرده‌ایم، اما با توجه به الگوریتم‌های درهم‌سازی قدیمی (SHA-256) که در آن زمان مورد استفاده قرار می‌گرفت، ممکن است با یک حمله‌ی جستجوی فراگیر، پسوردهای شما شکسته شده باشند. ما در سال گذشته الگوریتم خود را به الگوریتم جدید bcrypt به‌روز کردیم.» این شرکت همراه با اعمال تغییرات در پسوردها، اطلاع‌رسانی به کاربران آسیب‌دیده را آغاز کرده است.


علاوه بر این، به افرادی که از همان ترکیب آدرس ایمیل و پسورد در چندین وب‌گاه و برنامه استفاده می‌کنند، نیز توصیه می‌شود که پسوردهای خود بر روی سرویس‌های دیگر را نیز تغییر دهند. هنوز معلوم نیست که چگونه این نقض داده تقریبا سه سال قبل رخ داده و نادیده گرفته شده است. Imgur با جدیت تمام، در مورد این نفوذ تحقیق کرده و به محض دسترسی به آن، جزئیات را به اشتراک خواهد گذاشت.


تروی هانت، کارشناس امنیتی که در مورد این رویداد به Imgur اطلاع داده بود، از این شرکت به‌دلیل پاسخ سریع خود به اعلان مربوط به نقض و افشای نقض داده تمجید کرد. هانت توئیت کرد: « 25 ساعت و ۱۰ دقیقه از ایمیل اولیه‌ی من به آدرس این شرکت می‌گذشت که آن‌ها مردم را در طول روز شکرگزاری بسیج کرده و اطلاعات را ارزیابی کردند، بازنشانی پسوردها را آغاز و یک افشای عمومی ترتیب دادند!»

 

منبع

پست‌های مشابه

Leave a Comment