Офис Imgur

Сервис хостинга изображений Imgur официально признал факт взлома своих серверов в 2014 году, результатом чего стала утечка информации об 1,7 млн аккаунтов пользователей, с адресами электронной почты и парольными хэшами в SHA-256.

Взлом получился качественный. В течение трёх прошедших лет сисадмины Imgur понятия не имели, что произошло нечто подобное. Разработчики узнали о факапе только после того, как информация о пользователях, фактически, попала в открытый доступ. К её чести, Imgur отреагировал оперативно, не стал ничего отрицать и сразу приступил к уведомлению пользователей.

Imgur — один из самых популярных в мире хостингов изображений. Все картинки здесь хранятся вечно. Сайт запустил в 2009 году студент факультета информатики из Огайо Алан Шааф (Alan Schaaf). Из-за больших расходов на хостинг ему приходилось несколько раз менять хостинг-провайдеров (сейчас это Amazon Web Services), с 2009 года на сайте появилась баннерная реклама, с 2010 года — платные аккаунты, а с 2013 года — спонсорские изображения. Но в 2014 году сайт получил $40 млн инвестиций, так что проблемы сразу решились.

Из функций Imgur:

  • Конвертер видео в GIF и наоборот
  • Генератор мемов
  • Ачивки для юзеров

Всё это позволило быстро сформировать вокруг сайта лояльную аудиторию пользователей, которые зачастую одновременно являлись также пользователями Reddit.

Главный операционный директор Рой Сегал (Roy Sehgal) в официальном блоге обратил внимание, что не произошло утечки никаких персональных данных пользователей по одной простой причине — компания не просит своих пользователей предоставлять персональные данные, только email. Сервис подчёркнуто анонимен.

23 ноября 2017 года компанию уведомил о факте взлома известный специалист по безопасности Трой Хант (Troy Hunt), создатель Have I Been Pwned. Этот сайт аккумулирует у себя все украденные базы аккаунтов и предоставляет пользователям возможность полнотекстового поиска по ним (чтобы узнать, не угнали ли их аккаунты где-нибудь).

Рой Сегал напоминает, что 23 ноября все отмечали День благодарения. Письмо было отправлено в полдень, но операционный директор прочитал его только поздно вечером. Несмотря на вечер праздничного дня, он немедленно уведомил основателя/исполнительного директора и вице-президента по разработке. Те связались с Троем Хантом и договорились о передаче базы данных по безопасным каналам, чтобы они могли её изучить. Передача состоялась.

Быстрый анализ утечки подтвердил её подлинность, а уведомление в официальном блоге для пользователей состоялось на следующий день, то есть 24 ноября. Ханта реально впечатлило время реакции 25 часов 10 минут, как он написал в твиттере.


1,7 миллиона человек — это крошечная часть из нынешней аудитории примерно в 150 млн пользователей Imgur (месячная аудитория).

Трой Хант тоже провёл анализ базы и обнаружил 60% дубликатов. Это почтовые адреса аккаунтов, которые утекли ещё раньше, в результате взломов других сайтов. Всего в базе уже 4,8 млрд записей.

Хэши SHA-256 уязвимы для атаки брутфорсом, поэтому Imgur в 2016 году перешёл на более стойкий алгоритм хэширования bcrypt.

Поскольку все пользователи анонимны, то опасность этой утечки данных совершенно невелика. Во-первых, она касается только тех, кто использовал Imgur в 2014 году. Во-вторых, единственная информация, которую может получить злоумышленник — это адрес электронной почты и пароль к аккаунту на сайте. Если этот пароль используется только на этом сайте, то ничего особо страшного не будет. Ну разве что можно лишиться своих фотографий и собственноручно созданных мемов.

Другое дело, если этот пароль совпадает с паролем электронной почты, а там отсутствует двухфакторная аутентификация. Вот тогда злоумышленник развлечётся по полной программе. Но утечка состоялась давным-давно, и если он ещё не сделал этого до сих пор, то уже вряд ли сделает. Тем не менее, утром 24 ноября компания начала рассылать уведомления всем пользователям, чьи аккаунты найдены в базе, с просьбой немедленно сменить пароль.

А отдел безопасности в компании Imgur, похоже, полностью отсутствует — по крайней мере, нигде не упоминается о наличии ни таких специалистов, ни такого отдела. Да и зачем он нужен, если фирма не хранит никаких персональных данных. Простой хостинг картинок от юзеров, чистый UGC. Достаточно делать бэкапы — вот и вся безопасность.

Как обычно, пользователей просят применять сложные пароли, разные для всех сайтов, и регулярно их менять.

Сейчас Imgur ведёт расследование обстоятельств взлома. Кроме того, начался тщательный анализ всех систем и процессов Imgur на предмет безопасности.

Комментарии (6)


  1. 0o0
    27.11.2017 22:35

    В14м году получили 40млн$ и в 14м же их взломали. Совпадение?

    Бизнес план:
    — даём денег
    — взламываем
    — ?!?
    — профит


    1. Andy_Big
      28.11.2017 00:49

      — профит

      В чем именно?


      1. alix_ginger
        28.11.2017 15:40

        Пока неизвестно, только перешли к стадии ?!?


      1. 0o0
        29.11.2017 23:46

        это была отсылка к… в общем, не важно.
        image


  1. KOLANICH
    28.11.2017 03:36

    Другое дело, если этот пароль совпадает с паролем электронной почты, а там отсутствует двухфакторная аутентификация. Вот тогда злоумышленник развлечётся по полной программе.


    только если пароль словарный.

    то опасность этой утечки данных совершенно невелика.


    опасность любой утечки велика. Тут плоха не столько утечка котиков, сколько утечка инфы о том, какие аккаунты к каким e-mailам относятся. Е-мейл обычно с реальным именем используются, так что, если инфа попадёт в руки тех, кому не понравились определённые картинки, опубликованные определёнными аккаунтами, напр. психу какому-нибудь, на которого карикатуру выложили, то пользователям этих аккаунтов может непоздоровиться, «вычислят по email и набьют %$@~».


  1. karabam
    28.11.2017 13:27

    Там же ведь Сноуден сидит возли аймака? конечно украдут.