Quasi 2 milioni di account Imgur violati nel 2014

Quasi 2 milioni di account Imgur violati nel 2014

Circolano in questi giorni le notizie riguardo a un attacco avvenuto sul servizio Imgur nel 2014, a circa 3 anni di distanza

di pubblicata il , alle 09:31 nel canale Web
 

Giungono in questi giorni notizie di una "potenziale irruzione nella sicurezza" successa tre anni fa su Imgur. L'attacco avrebbe concesso agli aggressori di ottenere l'accesso a 1,7 milioni di account utente attraverso e-mail e password. La compagnia ha dato il via ad un'indagine approfondita, e ha preferito comunque aggiornare gli utenti sulla violazione nei sistemi avvenuta tre anni fa, e su come intende gestire quanto accaduto, in anticipo rispetto alla fine della stessa indagine.

imgur

A raccontare quanto avvenuto è la stessa Imgur, che la scorsa settimana ha ricevuto una e-mail dal ricercatore di sicurezza Troy Hunt. Di seguito un estratto:

"Il nostro COO ha ricevuto l'e-mail il 23 novembre e ha immediatamente risposto al ricercatore in attesa di maggiori informazioni sulla potenziale violazione. Ha contemporaneamente notificato il fondatore/CEO di Imgur e il Vice President of Engineering. Il nostro VPE si è poi organizzato per ricevere in maniera sicura i dati dal ricercatore, e ha iniziato a lavorare per verificare che i dati appartenessero davvero ad utenti Imgur".

Imgur scrive inoltre che nella mattinata del 24 novembre è riuscita a confermare che circa 1,7 milioni di account sono stati compromessi nel 2014: "Le informazioni degli account compromessi comprendevano esclusivamente indirizzi e-mail e password. Imgur non ha mai chiesto nomi reali, indirizzi, numeri telefonici o altre informazioni che consentissero l'identificazione degli utenti, quindi le informazioni compromesse non includono questi dati", si legge su post.

Le indagini della compagnia stanno comunque attualmente continuando, al fine di determinare le modalità con cui gli aggressori sono riusciti a penetrare all'interno delle difese del servizio. I dati e le password sono sempre stati protetti da crittografia all'interno del database, tuttavia Imgur crede che l'attacco sia avvenuto attraverso brute force su un algoritmo di hashing SHA-256 utilizzato tre anni fa sul servizio. Solo lo scorso anno Imgur è passato ad un algoritmo bcrypt.

Gli utenti coinvolti nell'attacco sono stati informati lo stesso 24 novembre attraverso un'e-mail inviata sull'indirizzo con cui si erano iscritti al servizio. La compagnia richiede ovviamente la modifica della password, e offre infine dei consigli standard: "Vi consigliamo di utilizzare combinazioni di indirizzi e-mail e password diverse per ogni sito e ogni applicazione. Utilizzate inoltre password forti, e aggiornatele costantemente".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Davis527 Novembre 2017, 09:54 #1
vorrei sapere un malintenzionato cosa ci fa con un account imgur...
-Vale-27 Novembre 2017, 10:19 #2
Originariamente inviato da: Davis5
vorrei sapere un malintenzionato cosa ci fa con un account imgur...


Magari uno usa la stessa password con altri account o della stessa mail della registrazione
M@Rk027 Novembre 2017, 10:35 #3
con un account imgur niente, ma considerando che spesso e volentieri le persone usano la stessa password per vari servizi, con l'accoppiata email+password se ne fanno molto.
kamon27 Novembre 2017, 11:02 #4
Originariamente inviato da: M@Rk0
con un account imgur niente, ma considerando che spesso e volentieri le persone usano la stessa password per vari servizi, con l'accoppiata email+password se ne fanno molto.


Io non sono stato raggiunto da nessun avviso a riguardo, ma di recente nei log ho visto che il mio account si era collegato un pò da tutto il mondo... Ho chiesto all'assistenza e mi hanno risposto (linkandomi haveibee****ed.com) che effettivamente era stato violato... Tutto quì, non è seguito nient'altro da parte loro... Fortunatamente ci posto solo cazzate e la pass è unica (ovviamente cambiata subito).
giovanni6927 Novembre 2017, 11:55 #5
Cioè un ricercatore non ben identificato ti scrive un'email in cui ti dice che tre anni fa sei stato violato?... mah!...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^