🤙🏿 📠 🦄 Imgurホスティングは、170万人の匿名ユーザーアカウントのデータベースから盗まれました。 🧜🏻 🥩 ℹ️

Imgurオフィス

Imgurのイメージホスティングサービスは、2014年にサーバーのハッキングを公式に認め、その結果、SHA-256の電子メールアドレスとパスワードハッシュを含む170万人のユーザーアカウントに関する情報が漏洩しました。

ハッキングは高品質であることが判明しました。過去3年間、Imgurのシステム管理者は、このようなことが起こったことを知りませんでした。開発者は、ユーザーに関する情報が実際にパブリックドメインになって初めて、phakapについて学びました。彼女の功績として、Imgurはすぐに反応し、何も拒否せず、すぐにユーザーへの通知に進みました。

Imgurは、世界で最も人気のある画像ホスティングサービスの1つです。すべての写真は永久に保存されます。このサイトは、2009年にオハイオ州のコンピューターサイエンス部門のAlan Schaafの学生によって開設されました。ホスティングコストが高いため、ホスティングプロバイダーを数回変更する必要がありました（現在はAmazon Web Servicesです）。2009年からバナー広告がサイトに表示され、2010年から有料アカウント、2013年からスポンサー画像が表示されました。しかし、2014年にサイトは4,000万ドルの投資を受けたため、問題はすぐに解決されました。

Imgur機能から：

ビデオからGIFへのコンバーター、およびその逆
ミームジェネレーター
ユーザー向けの成果

これらすべてにより、サイト内のユーザーの忠実なオーディエンスを迅速に形成することが可能になりました。多くの場合、ユーザーは同時にRedditユーザーでもありました。

最高執行責任者のRoy Sehgalは公式ブログで、1つの単純な理由で個人ユーザーデータが漏洩したことはないと述べています。サービスには匿名で下線が引かれています。

2017年11月23日、有名なセキュリティスペシャリストであるHave I Been Pwnedの作成者であるTroy Huntからハッキングの通知を受けました。このサイトは、盗まれたアカウントデータベースをすべて蓄積し、ユーザーに全文検索の可能性を提供します（アカウントがどこかでハイジャックされたかどうかを調べるため）。

ロイシーガルは、11月23日に全員が感謝祭を祝ったことを思い出します。手紙は正午に送信されましたが、COOは夕方遅くにしか読んでいませんでした。お祝いの夜にもかかわらず、彼はすぐにエンジニアリングの創設者/ CEOと副社長に通知しました。彼らはトロイハントに連絡し、安全なチャネルを介してデータベースを転送して、調査できるようにすることに同意しました。転送が行われました。

リークの迅速な分析により、その信頼性が確認され、ユーザー向けの公式ブログでの通知は翌日、つまり11月24日に行われました。ハントは、ツイートした25時間10分の反応時間に本当に感銘を受けました。

@imgurのこの典型的な処理を認識したいと思います：最初のメールから記者宛てのアドレスまでの25時間10分で、感謝祭で人々を動員し、データを評価し、パスワードのリセットを開始し、公開します。称賛！ https://t.co/jV8MDscXLT

-トロイハント（@troyhunt） 2017年11月25日

170万人は、現在の約1億5,000万人のImgurユーザー（月間ユーザー）のほんの一部です。

トロイハントもデータベース分析を実施し、重複の60％を発見しました。これらは、他のサイトへのハッキングの結果として以前にも漏洩したアカウントのメールアドレスです。合計で、データベースにはすでに48億のレコードがあります。

SHA-256ハッシュはブルートフォース攻撃に対して脆弱であるため、2016年にImgurはより堅牢なbcryptハッシュアルゴリズムに切り替えました。

すべてのユーザーは匿名であるため、このデータ漏洩の危険はまったくありません。まず、2014年にImgurを使用した人にのみ適用されます。第二に、攻撃者が取得できる唯一の情報は、サイトのアカウントの電子メールアドレスとパスワードです。このパスワードがこのサイトでのみ使用される場合、特にひどいものはありません。まあ、あなたの写真と手作りのミームを失う可能性があることを除いて。

もう1つは、このパスワードが電子メールパスワードと一致し、2要素認証がない場合です。その後、攻撃者は完全に楽しみます。しかし、リークはずっと前に発生し、彼がまだそれをしていない場合、彼はそうすることはほとんどありません。しかし、11月24日の朝、同社はデータベースでアカウントが見つかったすべてのユーザーに通知を送信し始め、すぐにパスワードを変更するように求めました。

そして、Imgurのセキュリティ部門は完全に不在のようです-少なくとも、そのような専門家やそのような部門の存在については言及されていません。そして、会社が個人データを保存しない場合、なぜそれが必要ですか。ユーザーからのシンプルな画像ホスティング、純粋なUGC。バックアップを行うのに十分-それがすべてのセキュリティです。

通常、ユーザーはすべてのサイトで異なる複雑なパスワードを使用し、定期的に変更するように求められます。

Imgurは現在、ハッキングを調査しています。さらに、すべてのImgurシステムおよび安全性プロセスの徹底的な分析が開始されました。

Imgurホスティングは、170万人の匿名ユーザーアカウントのデータベースから盗まれました。

More articles: