Gegevens 1,7 miljoen Imgur-gebruikers in 2014 gestolen
Drie jaar geleden zijn de gegevens van 1,7 miljoen Imgur-gebruikers gestolen, zo heeft de website voor het delen van afbeeldingen laten weten. Bij de aanval in september 2014 werden e-mailadressen en gehashte wachtwoorden gestolen. De wachtwoorden waren met het zwakkere sha-256-algoritme gehasht en zijn inmiddels gekraakt, aldus onderzoeker Troy Hunt, tevens de beheerder van de website Have I Been Pwned.
De website indexeert datalekken, zodat internetgebruikers kunnen controleren of hun gegevens ergens zijn gecompromitteerd. Hunt kreeg de gestolen data aangeleverd en waarschuwde vervolgens Imgur. De dataset die de onderzoeker ontving bevatte wachtwoorden in platte tekst, wat inhoudt dat de hashes gekraakt zijn, aldus Hunt. Ook Imgur stelt dat de wachtwoordhashes vanwege het gebruik van sha-256 waarschijnlijk zijn gekraakt.
Vorig jaar is Imgur op het sterkere bcrypt-algoritme voor het hashen van wachtwoorden overgestapt. Alle getroffen gebruikers zijn inmiddels ingelicht en moeten een nieuw wachtwoord kiezen om in te kunnen loggen. Hoe het datalek precies heeft kunnen plaatsvinden laat Imgur niet weten. De website heeft meer dan 100 miljoen actieve gebruikers.
SHA-256 is used in several different parts of the Bitcoin network:
Mining uses SHA-256 as the Proof of work algorithm.
SHA-256 is used in the creation of bitcoin addresses to improve security and privacy.
Hoezo zwak, dat vraagt toch om een duidelijkere uitleg.
1.7 miljoen wachtwoorden, ik denk dat je de helft heb binnen een uur.
Beter dan md5 toch? Ik denk dat de zin verkeerd geinterpreteerd wordt. Waarschijnlijk waren het zwakke wachtwoorden. Nadruk op "gegevens liggen op straat" als Have I Been Pwned over de email adressen/logins beschikt. En trouwens.. 2014. Hoop oude data ook.
Omdat men er zonder al te grote kleerscheuren mee wegkomt,
niemand betere beveiliging eist of handhaaft.
CEO bonus afnemen en geen kerstkalkoen geven.
Waarom zijn er nog zoveel die geen 'best policies' toepassen of zelfs nog met incompetent werken bezig zijn?
Iedereen hoort bijvoorbeeld toch te weten dat naamserver versie info proliferatie uit moet staan.
Iemand die dat niet weet, moet helemaal niet in de buurt ervan mogen komen!
Maar die het moeten doen, gaan er niet over en die erover gaan,
weten er niet van of laten zich een mooie maar soms onveilige oplossing aanpraten.
Informatie voorzieningen, zijn voorzieningen en is geen garantie op veiligheid.
We zijn echt verkeerd bezig met zijn allen. Hier geleerd.
Ik ook en besef dat maar al te goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
