Офис Imgur
Сервис хостинга изображений Imgur официально признал факт взлома своих серверов в 2014 году, результатом чего стала утечка информации об 1,7 млн аккаунтов пользователей, с адресами электронной почты и парольными хэшами в SHA-256.
Взлом получился качественный. В течение трёх прошедших лет сисадмины Imgur понятия не имели, что произошло нечто подобное. Разработчики узнали о факапе только после того, как информация о пользователях, фактически, попала в открытый доступ. К её чести, Imgur отреагировал оперативно, не стал ничего отрицать и сразу приступил к уведомлению пользователей.
Imgur — один из самых популярных в мире хостингов изображений. Все картинки здесь хранятся вечно. Сайт запустил в 2009 году студент факультета информатики из Огайо Алан Шааф (Alan Schaaf). Из-за больших расходов на хостинг ему приходилось несколько раз менять хостинг-провайдеров (сейчас это Amazon Web Services), с 2009 года на сайте появилась баннерная реклама, с 2010 года — платные аккаунты, а с 2013 года — спонсорские изображения. Но в 2014 году сайт получил $40 млн инвестиций, так что проблемы сразу решились.
Из функций Imgur:
- Конвертер видео в GIF и наоборот
- Генератор мемов
- Ачивки для юзеров
Всё это позволило быстро сформировать вокруг сайта лояльную аудиторию пользователей, которые зачастую одновременно являлись также пользователями Reddit.
Главный операционный директор Рой Сегал (Roy Sehgal) в официальном блоге обратил внимание, что не произошло утечки никаких персональных данных пользователей по одной простой причине — компания не просит своих пользователей предоставлять персональные данные, только email. Сервис подчёркнуто анонимен.
23 ноября 2017 года компанию уведомил о факте взлома известный специалист по безопасности Трой Хант (Troy Hunt), создатель Have I Been Pwned. Этот сайт аккумулирует у себя все украденные базы аккаунтов и предоставляет пользователям возможность полнотекстового поиска по ним (чтобы узнать, не угнали ли их аккаунты где-нибудь).
Рой Сегал напоминает, что 23 ноября все отмечали День благодарения. Письмо было отправлено в полдень, но операционный директор прочитал его только поздно вечером. Несмотря на вечер праздничного дня, он немедленно уведомил основателя/исполнительного директора и вице-президента по разработке. Те связались с Троем Хантом и договорились о передаче базы данных по безопасным каналам, чтобы они могли её изучить. Передача состоялась.
Быстрый анализ утечки подтвердил её подлинность, а уведомление в официальном блоге для пользователей состоялось на следующий день, то есть 24 ноября. Ханта реально впечатлило время реакции 25 часов 10 минут, как он написал в твиттере.
1,7 миллиона человек — это крошечная часть из нынешней аудитории примерно в 150 млн пользователей Imgur (месячная аудитория).
Трой Хант тоже провёл анализ базы и обнаружил 60% дубликатов. Это почтовые адреса аккаунтов, которые утекли ещё раньше, в результате взломов других сайтов. Всего в базе уже 4,8 млрд записей.
Хэши SHA-256 уязвимы для атаки брутфорсом, поэтому Imgur в 2016 году перешёл на более стойкий алгоритм хэширования bcrypt.
Поскольку все пользователи анонимны, то опасность этой утечки данных совершенно невелика. Во-первых, она касается только тех, кто использовал Imgur в 2014 году. Во-вторых, единственная информация, которую может получить злоумышленник — это адрес электронной почты и пароль к аккаунту на сайте. Если этот пароль используется только на этом сайте, то ничего особо страшного не будет. Ну разве что можно лишиться своих фотографий и собственноручно созданных мемов.
Другое дело, если этот пароль совпадает с паролем электронной почты, а там отсутствует двухфакторная аутентификация. Вот тогда злоумышленник развлечётся по полной программе. Но утечка состоялась давным-давно, и если он ещё не сделал этого до сих пор, то уже вряд ли сделает. Тем не менее, утром 24 ноября компания начала рассылать уведомления всем пользователям, чьи аккаунты найдены в базе, с просьбой немедленно сменить пароль.
А отдел безопасности в компании Imgur, похоже, полностью отсутствует — по крайней мере, нигде не упоминается о наличии ни таких специалистов, ни такого отдела. Да и зачем он нужен, если фирма не хранит никаких персональных данных. Простой хостинг картинок от юзеров, чистый UGC. Достаточно делать бэкапы — вот и вся безопасность.
Как обычно, пользователей просят применять сложные пароли, разные для всех сайтов, и регулярно их менять.
Сейчас Imgur ведёт расследование обстоятельств взлома. Кроме того, начался тщательный анализ всех систем и процессов Imgur на предмет безопасности.
Источник
