Les révélations sur les fuites de données continuent d'être tardives. Nouvel exemple avec Imgur. La semaine dernière, le site d'hébergement et de partage d'images a été alerté au sujet d'une fuite de données qui s'est produite en 2014.
Après enquête, Imgur a confirmé vendredi la compromission de plus de 1,7 million de comptes en 2014. Les informations affectées sont uniquement les adresses mail et mots de passe. En l'occurrence, Imgur précise avoir toujours chiffré les mots de passe dans sa base de données.
Toutefois, certains de ces mots de passe peuvent avoir été retrouvés avec une attaque par force brute. Imgur évoque le cas d'un ancien algorithme de hachage SHA-256 qui était utilisé au moment du piratage. L'année dernière, il a été remplacé par bcrypt.
Thank you @troyhunt for bringing the data breach to our attention. The official @imgur statement and response here: https://t.co/2pXReoHjB8 https://t.co/cyp1NutS7i
— Roy Sehgal (@sehgal) 25 novembre 2017
Cette fuite de données a été portée à la connaissance de Imgur par Troy Hunt qui est derrière le service Have I Been Pwned? (HIBP). Ce dernier reçoit régulièrement des alertes au sujet de tels incidents et vérifie leur véracité. Troy Hunt travaille avec Mozilla pour une intégration de HIPB dans Firefox. Il souligne la rapidité de Imgur... en tout cas après sa notification.
I want to recognise @imgur's exemplary handling of this: that's 25 hours and 10 mins from my initial email to a press address to them mobilising people over Thanksgiving, assessing the data, beginning password resets and making a public disclosure. Kudos! https://t.co/jV8MDscXLT
— Troy Hunt (@troyhunt) 25 novembre 2017
En 2015, Imgur revendiquait 150 millions d'utilisateurs actifs par mois. Le site prévient les utilisateurs concernés par l'incident de sécurité (via leur adresse mail enregistrée) avec pour consigne de modifier leur mot de passe.
L'enquête se poursuit pour éclaircir ce piratage passé inaperçu pendant plusieurs années. Ce n'est pas une première dans le genre.
