Drie jaar geleden zijn de gegevens van 1,7 miljoen Imgur-gebruikers gestolen, zo heeft de website voor het delen van afbeeldingen laten weten. Bij de aanval in september 2014 werden e-mailadressen en gehashte wachtwoorden gestolen. De wachtwoorden waren met het zwakkere sha-256-algoritme gehasht en zijn inmiddels gekraakt, aldus onderzoeker Troy Hunt, tevens de beheerder van de website Have I Been Pwned.
De website indexeert datalekken, zodat internetgebruikers kunnen controleren of hun gegevens ergens zijn gecompromitteerd. Hunt kreeg de gestolen data aangeleverd en waarschuwde vervolgens Imgur. De dataset die de onderzoeker ontving bevatte wachtwoorden in platte tekst, wat inhoudt dat de hashes gekraakt zijn, aldus Hunt. Ook Imgur stelt dat de wachtwoordhashes vanwege het gebruik van sha-256 waarschijnlijk zijn gekraakt.
Vorig jaar is Imgur op het sterkere bcrypt-algoritme voor het hashen van wachtwoorden overgestapt. Alle getroffen gebruikers zijn inmiddels ingelicht en moeten een nieuw wachtwoord kiezen om in te kunnen loggen. Hoe het datalek precies heeft kunnen plaatsvinden laat Imgur niet weten. De website heeft meer dan 100 miljoen actieve gebruikers.
Deze posting is gelocked. Reageren is niet meer mogelijk.