Imgur scopre il furto di 1,7 milioni di account

Imgur ha subito il furto di quasi due milioni di account nel 2014. La scoperta, tuttavia, non è stata fatta dall’azienda californiana, ma da Troy Hunt, il ricercatore di sicurezza che ha creato il sito Have I Been Pwned?. La segnalazione è arrivata il 23 novembre scorso e, dopo una veloce indagine, Imgur ha confermato l’accaduto.

Il Chief Operating Officer Roy Sehgal ha pubblicato un post sul blog ufficiale per fornire chiarimenti e suggerimenti agli utenti. Le informazioni sul furto sono ancora poche, quindi non sono noti gli autori né quali tecniche hanno utilizzato. Fortunatamente su Imgur non vengono pubblicati contenuti riservati (solo immagini usate spesso per i meme). L’azienda sottolinea che i dati compromessi sono indirizzi email e password. Per usare il servizio di hosting non occorrono nomi reali, numero di telefono o indirizzi geografici.

Imgur ha sempre memorizzato le password in forma cifrata nel database, ma all’epoca (2014) è stato usato l’algoritmo di hashing SHA-256 che non è molto robusto. Infatti, il Chief Operating Officer ipotizza che sia stato “craccato” con la forza bruta. Ciò ha permesso di leggere le password in chiaro. L’algoritmo è stato recentemente sostituito con bcrypt.

Tutti gli utenti interessati sono stati avvisati tramite email. È quindi consigliabile cambiare al più presto la password. Imgur suggerisce inoltre di non usare le stesse credenziali per altri servizi, sui quali vengono conservati dati più importanti di una semplice immagine.