Depois da revelação do vazamento do Uber, agora é a vez do Imgur dar um susto nos seus usuários: endereços de email e senhas de 1,7 milhão de contas foram parar na internet após uma invasão em 2014.
Ao contrário do Uber, que sabia do incidente, mas não comunicou às vítimas até a semana passada, o Imgur sequer sabia do vazamento de dados durante todos esses anos, entretanto, tão logo foi informado, tomou as providências cabíveis, mesmo no feriado.
A falha de segurança no banco de dados teria continuado despercebida se Troy Hunt, administrador do serviço online Have I Been Pwned, não tivesse recebido de um informante anônimo o lote completo com todos os endereços de email e senhas furtados. As senhas estavam protegidas por um algoritmo SHA-256, considerado ultrapassado na comunidade de segurança.
Hunt informou a Imgur na noite de quinta-feira, feriado nacional de Ação de Graças, nos Estados Unidos. Normalmente, muitas empresas emendam com a sexta-feira e dão folga para seus funcionários, entretanto Hunt relata que em menos de 24 horas a Imgur resetou todas as contas afetadas pelo vazamento, comunicou os usuários e publicou uma nota oficial a respeito do incidente. O pesquisador de segurança considerou a reação “exemplar”.
Na nota oficial, a Imgur afirma que ainda está investigando como o vazamento aconteceu e esclarece que substituiu o algoritmo SHA-256 pelo bcrypt no ano passado. A empresa também reforçou a recomendação dos especialistas para que os usuário utilizem combinações de email e senha diferentes em sites diferentes, empreguem senhas fortes e as atualizem constantemente.
“Nós tomamos a proteção da sua informação muito a sério e realizaremos uma revisão de segurança interna do nosso sistema e processos. Pedimos desculpas por esta violação e a inconveniência que causou”, completa a mensagem assinada por Roy Sehgal, Chief Operating Officer da Imgur, o primeiro executivo a ser contatado por Troy Hunt.
