image

Gegevens 1,7 miljoen Imgur-gebruikers in 2014 gestolen

zondag 26 november 2017, 10:35 door Redactie, 7 reacties

Drie jaar geleden zijn de gegevens van 1,7 miljoen Imgur-gebruikers gestolen, zo heeft de website voor het delen van afbeeldingen laten weten. Bij de aanval in september 2014 werden e-mailadressen en gehashte wachtwoorden gestolen. De wachtwoorden waren met het zwakkere sha-256-algoritme gehasht en zijn inmiddels gekraakt, aldus onderzoeker Troy Hunt, tevens de beheerder van de website Have I Been Pwned.

De website indexeert datalekken, zodat internetgebruikers kunnen controleren of hun gegevens ergens zijn gecompromitteerd. Hunt kreeg de gestolen data aangeleverd en waarschuwde vervolgens Imgur. De dataset die de onderzoeker ontving bevatte wachtwoorden in platte tekst, wat inhoudt dat de hashes gekraakt zijn, aldus Hunt. Ook Imgur stelt dat de wachtwoordhashes vanwege het gebruik van sha-256 waarschijnlijk zijn gekraakt.

Vorig jaar is Imgur op het sterkere bcrypt-algoritme voor het hashen van wachtwoorden overgestapt. Alle getroffen gebruikers zijn inmiddels ingelicht en moeten een nieuw wachtwoord kiezen om in te kunnen loggen. Hoe het datalek precies heeft kunnen plaatsvinden laat Imgur niet weten. De website heeft meer dan 100 miljoen actieve gebruikers.

Reacties (7)
26-11-2017, 12:50 door Anoniem
Hoe is SHA-256 zwak dan?
26-11-2017, 22:27 door Anoniem
Bitcoin Wiki
SHA-256 is used in several different parts of the Bitcoin network:
Mining uses SHA-256 as the Proof of work algorithm.
SHA-256 is used in the creation of bitcoin addresses to improve security and privacy.

Hoezo zwak, dat vraagt toch om een duidelijkere uitleg.
26-11-2017, 22:37 door Anoniem
Door Anoniem: Hoe is SHA-256 zwak dan?
Omdat het simpele hashes zijn, en daarom kunnen standaard/zwakke wachtwoorden d.m.v. rainbow tables in enkele seconden achterhaalt worden.
1.7 miljoen wachtwoorden, ik denk dat je de helft heb binnen een uur.
26-11-2017, 22:47 door Anoniem
Door Anoniem: Hoe is SHA-256 zwak dan?

Beter dan md5 toch? Ik denk dat de zin verkeerd geinterpreteerd wordt. Waarschijnlijk waren het zwakke wachtwoorden. Nadruk op "gegevens liggen op straat" als Have I Been Pwned over de email adressen/logins beschikt. En trouwens.. 2014. Hoop oude data ook.
27-11-2017, 01:48 door Anoniem
Drie jaar geleden en het nu pas openbaar maken ...
27-11-2017, 09:55 door [Account Verwijderd]
Voor de opslag van wachtwoorden wordt tegenwoordig bcrypt/PBKDF2 gebruikt. Deze zijn veel weerbaarder tegen brute force.
27-11-2017, 14:43 door Anoniem
Waarom gaat men dan zo onveilig met eindgebruikers data om?

Omdat men er zonder al te grote kleerscheuren mee wegkomt,
niemand betere beveiliging eist of handhaaft.
CEO bonus afnemen en geen kerstkalkoen geven.

Waarom zijn er nog zoveel die geen 'best policies' toepassen of zelfs nog met incompetent werken bezig zijn?

Iedereen hoort bijvoorbeeld toch te weten dat naamserver versie info proliferatie uit moet staan.
Iemand die dat niet weet, moet helemaal niet in de buurt ervan mogen komen!

Maar die het moeten doen, gaan er niet over en die erover gaan,
weten er niet van of laten zich een mooie maar soms onveilige oplossing aanpraten.

Informatie voorzieningen, zijn voorzieningen en is geen garantie op veiligheid.
We zijn echt verkeerd bezig met zijn allen. Hier geleerd.

Ik ook en besef dat maar al te goed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.