Quasi 2 milioni di account Imgur violati nel 2014

Giungono in questi giorni notizie di una "potenziale irruzione nella sicurezza" successa tre anni fa su Imgur. L'attacco avrebbe concesso agli aggressori di ottenere l'accesso a 1,7 milioni di account utente attraverso e-mail e password. La compagnia ha dato il via ad un'indagine approfondita, e ha preferito comunque aggiornare gli utenti sulla violazione nei sistemi avvenuta tre anni fa, e su come intende gestire quanto accaduto, in anticipo rispetto alla fine della stessa indagine.

A raccontare quanto avvenuto è la stessa Imgur, che la scorsa settimana ha ricevuto una e-mail dal ricercatore di sicurezza Troy Hunt. Di seguito un estratto:

"Il nostro COO ha ricevuto l'e-mail il 23 novembre e ha immediatamente risposto al ricercatore in attesa di maggiori informazioni sulla potenziale violazione. Ha contemporaneamente notificato il fondatore/CEO di Imgur e il Vice President of Engineering. Il nostro VPE si è poi organizzato per ricevere in maniera sicura i dati dal ricercatore, e ha iniziato a lavorare per verificare che i dati appartenessero davvero ad utenti Imgur".

Imgur scrive inoltre che nella mattinata del 24 novembre è riuscita a confermare che circa 1,7 milioni di account sono stati compromessi nel 2014: "Le informazioni degli account compromessi comprendevano esclusivamente indirizzi e-mail e password. Imgur non ha mai chiesto nomi reali, indirizzi, numeri telefonici o altre informazioni che consentissero l'identificazione degli utenti, quindi le informazioni compromesse non includono questi dati", si legge su post.

Le indagini della compagnia stanno comunque attualmente continuando, al fine di determinare le modalità con cui gli aggressori sono riusciti a penetrare all'interno delle difese del servizio. I dati e le password sono sempre stati protetti da crittografia all'interno del database, tuttavia Imgur crede che l'attacco sia avvenuto attraverso brute force su un algoritmo di hashing SHA-256 utilizzato tre anni fa sul servizio. Solo lo scorso anno Imgur è passato ad un algoritmo bcrypt.

Gli utenti coinvolti nell'attacco sono stati informati lo stesso 24 novembre attraverso un'e-mail inviata sull'indirizzo con cui si erano iscritti al servizio. La compagnia richiede ovviamente la modifica della password, e offre infine dei consigli standard: "Vi consigliamo di utilizzare combinazioni di indirizzi e-mail e password diverse per ogni sito e ogni applicazione. Utilizzate inoltre password forti, e aggiornatele costantemente".