- PVSM.RU - https://www.pvsm.ru -
Офис Imgur
Сервис
Взлом получился качественный. В течение трёх прошедших лет сисадмины Imgur понятия не имели, что произошло нечто подобное. Разработчики узнали о факапе только после того, как информация о пользователях, фактически, попала в открытый доступ. К её чести, Imgur отреагировал оперативно, не стал ничего отрицать и сразу приступил к уведомлению пользователей.
Imgur — один из самых популярных в мире хостингов изображений. Все картинки здесь хранятся вечно. Сайт запустил в 2009 году студент факультета информатики из Огайо Алан Шааф (Alan Schaaf). Из-за больших расходов на
Из функций Imgur:
Всё это позволило быстро сформировать вокруг сайта лояльную аудиторию пользователей, которые зачастую одновременно являлись также пользователями Reddit.
Главный операционный директор Рой Сегал (Roy Sehgal) в официальном блоге обратил внимание, что не произошло утечки никаких персональных данных пользователей по одной простой причине — компания не просит своих пользователей предоставлять персональные данные, только email. Сервис подчёркнуто анонимен.
23 ноября 2017 года компанию уведомил о факте взлома известный специалист по безопасности Трой Хант (Troy Hunt), создатель Have I Been Pwned [3]. Этот сайт аккумулирует у себя все украденные базы аккаунтов и предоставляет пользователям возможность полнотекстового поиска по ним (чтобы узнать, не угнали ли их аккаунты где-нибудь).
Рой Сегал напоминает, что 23 ноября все отмечали День благодарения. Письмо было отправлено в полдень, но операционный директор прочитал его только поздно вечером. Несмотря на вечер праздничного дня, он немедленно уведомил основателя/исполнительного директора и вице-президента по разработке. Те связались с Троем Хантом и договорились о передаче базы данных по безопасным каналам, чтобы они могли её изучить. Передача состоялась.
Быстрый анализ утечки подтвердил её подлинность, а уведомление в официальном блоге для пользователей состоялось на следующий день, то есть 24 ноября. Ханта реально впечатлило время реакции 25 часов 10 минут, как он написал [4] в твиттере.
1,7 миллиона человек — это крошечная часть из нынешней аудитории примерно в 150 млн пользователей Imgur (месячная аудитория).
Трой Хант тоже провёл анализ базы и обнаружил 60% дубликатов. Это почтовые адреса аккаунтов, которые утекли ещё раньше, в результате взломов других сайтов. Всего в базе уже 4,8 млрд записей.
Хэши SHA-256 уязвимы для атаки брутфорсом, поэтому Imgur в 2016 году перешёл на более стойкий алгоритм хэширования bcrypt.
Поскольку все пользователи анонимны, то опасность этой утечки данных совершенно невелика. Во-первых, она касается только тех, кто использовал Imgur в 2014 году. Во-вторых, единственная информация, которую может получить злоумышленник — это адрес электронной почты и пароль к аккаунту на сайте. Если этот пароль используется только на этом сайте, то ничего особо страшного не будет. Ну разве что можно лишиться своих фотографий и собственноручно созданных мемов.
Другое дело, если этот пароль совпадает с паролем электронной почты, а там отсутствует двухфакторная аутентификация. Вот тогда злоумышленник развлечётся по полной программе. Но утечка состоялась давным-давно, и если он ещё не сделал этого до сих пор, то уже вряд ли сделает. Тем не менее, утром 24 ноября компания начала рассылать уведомления всем пользователям, чьи аккаунты найдены в базе, с просьбой немедленно сменить пароль.
А отдел безопасности в компании Imgur, похоже, полностью отсутствует — по крайней мере, нигде не упоминается о наличии ни таких специалистов, ни такого отдела. Да и зачем он нужен, если фирма не хранит никаких персональных данных. Простой
Как обычно, пользователей просят применять сложные пароли, разные для всех сайтов, и регулярно их менять.
Сейчас Imgur ведёт расследование обстоятельств взлома. Кроме того, начался тщательный анализ всех систем и процессов Imgur на предмет безопасности.
Автор: Анатолий Ализар
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/269254
Ссылки в тексте:
[1] хостинга: https://www.reg.ru/?rlink=reflink-717
[2] официально признал: https://blog.imgur.com/2017/11/24/notice-of-data-breach/
[3] Have I Been Pwned: https://haveibeenpwned.com/
[4] написал: https://twitter.com/troyhunt/status/934210821302886400
[5] @imgur: https://twitter.com/imgur?ref_src=twsrc%5Etfw
[6] https://t.co/jV8MDscXLT: https://t.co/jV8MDscXLT
[7] November 25, 2017: https://twitter.com/troyhunt/status/934210821302886400?ref_src=twsrc%5Etfw
[8] Источник: https://geektimes.ru/post/295869/
Нажмите здесь для печати.