本周五,图片分享网站Imgur承认了自己的系统在2014年被黑客攻击,大约有170万用户的邮件及登录密码受到了影响。
“Imgur从来没向用户要过真实姓名、地址、手机号码或其它个人身份信息,因此被盗的信息中不会包含上述内容。”它强调。尽管这次事件发生于3年前,但直到今年11月23日它才为大家知晓。是安全研究员Troy Hunt联系了这家公司,他在使用数据泄露提醒服务haveibeenpwned时,有人给他发了被盗信息。
Hunt在推特上也确认了自己的数据库里有很多被盗的信息(注意他的日期写错了):
Imgur在2013年被黑客攻击了。4年后,170万个邮件地址及其被破解的密码被公开。其中有60%在haveibeenpwned上。
之前Imgur还没有承认这个事件——只是表示自己仍在调查。但它也的确表明了在2014年,公司仍然采用过时的散列算法(SHA-256)去加密自己的数据库,这也说明了黑客正是因此通过暴力破解盗取了数据。
“去年我们更新了算法,采用了全新的加密方式。”公司说道。
如今人们对数据泄露也见怪不怪了。和那些超大规模的数据泄露相比,170万用户数据也并不算多。
雅虎在2013年到14年期间遭受了大规模的工具,受影响的账户多达300亿。在过去的一周里,Uber也公开了一次大规模攻击,大约有5700万用户和驾驶员的数据被盗。
但值得注意的是,Imgur发现问题的速度太慢了。它说自己在11月23日才意识到当初被攻击了,24日早上才给用户发出了通知(通过他们的注册邮箱),并要求他们重置自己的密码。