Офис Imgur

Сервис хостинга изображений Imgur официально признал факт взлома своих серверов в 2014 году, результатом чего стала утечка информации об 1,7 млн аккаунтов пользователей, с адресами электронной почты и парольными хэшами в SHA-256.

Взлом получился качественный. В течение трёх прошедших лет сисадмины Imgur понятия не имели, что произошло нечто подобное. Разработчики узнали о факапе только после того, как информация о пользователях, фактически, попала в открытый доступ. К её чести, Imgur отреагировал оперативно, не стал ничего отрицать и сразу приступил к уведомлению пользователей.

Imgur — один из самых популярных в мире хостингов изображений. Все картинки здесь хранятся вечно. Сайт запустил в 2009 году студент факультета информатики из Огайо Алан Шааф (Alan Schaaf). Из-за больших расходов на хостинг ему приходилось несколько раз менять хостинг-провайдеров (сейчас это Amazon Web Services), с 2009 года на сайте появилась баннерная реклама, с 2010 года — платные аккаунты, а с 2013 года — спонсорские изображения. Но в 2014 году сайт получил $40 млн инвестиций, так что проблемы сразу решились.

Из функций Imgur:

• Конвертер видео в GIF и наоборот
• Генератор мемов
• Ачивки для юзеров

Всё это позволило быстро сформировать вокруг сайта лояльную аудиторию пользователей, которые зачастую одновременно являлись также пользователями Reddit.

Главный операционный директор Рой Сегал (Roy Sehgal) в официальном блоге обратил внимание, что не произошло утечки никаких персональных данных пользователей по одной простой причине — компания не просит своих пользователей предоставлять персональные данные, только email. Сервис подчёркнуто анонимен.

23 ноября 2017 года компанию уведомил о факте взлома известный специалист по безопасности Трой Хант (Troy Hunt), создатель Have I Been Pwned. Этот сайт аккумулирует у себя все украденные базы аккаунтов и предоставляет пользователям возможность полнотекстового поиска по ним (чтобы узнать, не угнали ли их аккаунты где-нибудь).

Рой Сегал напоминает, что 23 ноября все отмечали День благодарения. Письмо было отправлено в полдень, но операционный директор прочитал его только поздно вечером. Несмотря на вечер праздничного дня, он немедленно уведомил основателя/исполнительного директора и вице-президента по разработке. Те связались с Троем Хантом и договорились о передаче базы данных по безопасным каналам, чтобы они могли её изучить. Передача состоялась.

Быстрый анализ утечки подтвердил её подлинность, а уведомление в официальном блоге для пользователей состоялось на следующий день, то есть 24 ноября. Ханта реально впечатлило время реакции 25 часов 10 минут, как он написал в твиттере.


1,7 миллиона человек — это крошечная часть из нынешней аудитории примерно в 150 млн пользователей Imgur (месячная аудитория).

Трой Хант тоже провёл анализ базы и обнаружил 60% дубликатов. Это почтовые адреса аккаунтов, которые утекли ещё раньше, в результате взломов других сайтов. Всего в базе уже 4,8 млрд записей.

Хэши SHA-256 уязвимы для атаки брутфорсом, поэтому Imgur в 2016 году перешёл на более стойкий алгоритм хэширования bcrypt.

Поскольку все пользователи анонимны, то опасность этой утечки данных совершенно невелика. Во-первых, она касается только тех, кто использовал Imgur в 2014 году. Во-вторых, единственная информация, которую может получить злоумышленник — это адрес электронной почты и пароль к аккаунту на сайте. Если этот пароль используется только на этом сайте, то ничего особо страшного не будет. Ну разве что можно лишиться своих фотографий и собственноручно созданных мемов.

Другое дело, если этот пароль совпадает с паролем электронной почты, а там отсутствует двухфакторная аутентификация. Вот тогда злоумышленник развлечётся по полной программе. Но утечка состоялась давным-давно, и если он ещё не сделал этого до сих пор, то уже вряд ли сделает. Тем не менее, утром 24 ноября компания начала рассылать уведомления всем пользователям, чьи аккаунты найдены в базе, с просьбой немедленно сменить пароль.

А отдел безопасности в компании Imgur, похоже, полностью отсутствует — по крайней мере, нигде не упоминается о наличии ни таких специалистов, ни такого отдела. Да и зачем он нужен, если фирма не хранит никаких персональных данных. Простой хостинг картинок от юзеров, чистый UGC. Достаточно делать бэкапы — вот и вся безопасность.

Как обычно, пользователей просят применять сложные пароли, разные для всех сайтов, и регулярно их менять.

Сейчас Imgur ведёт расследование обстоятельств взлома. Кроме того, начался тщательный анализ всех систем и процессов Imgur на предмет безопасности.