Am gestrigen Black Friday haben bestimmt viele Leute ihre Shoppinglust ausgelebt. Doch nicht für alle war der Tag ein Schnäppchen-Erfolg. Der bekannte Bilderdienst imgur hat gestern einen Blog-Eintrag gepostet, der viele Nutzer überraschen dürfte. Sie teilen in diesem mit, dass das imgur-Team am 23. November von einem Sicherheitsforscher kontaktiert wurde, der sie darauf hinwies, dass die Webseite bereits im Jahr 2014 gehackt wurde. Eine spannende Geschichte, die fast aus einem Internet-Kriminalroman stammen könnte.
Demnach hat der Bilderdienst die Schwachstelle gar nicht selber entdeckt, sondern wurde von einem Außenstehenden darauf aufmerksam gemacht. Man untersucht derzeit immer noch, wie der Hack passieren konnte, doch laut imgur wurden dabei rund 1,7 Millionen Account-Daten geklaut, die aus Kombinationen von Anmelde-Emailadresse und Passwort bestehen. Zum Glück sind bei dem Bilderdienst keine realen Namen, Adressen, Telefonnummern oder persönliche Informationen hinterlegt. Danach hatte imgur, nach eigenen Angaben, nie gefragt.
Falls eure Daten betroffen sind, hat euch imgur wahrscheinlich bereits benachrichtigt. Der Bilderdienst hat nämlich alle betroffenen Nutzer aus den Jahren mit den hinterlegten Emailadressen angeschrieben. Sie werden aufgefordert, ihre Passwörter zu ändern. Wer das gleiche Passwort auf einer anderen Webseite verwendet, sollte auch dies abändern.
Der Sicherheitsforscher, der imgur auf den Datendiebstahl hinwies, hat diesen bemerkt, als die Hacker die gestohlenen Accounts im Darknet angeboten haben. Er soll selber einige Datensätze angeboten bekommen haben, die er nach seiner Recherche, mit dem Bilderdienst in Verbindung brachte. Imgur hat nach seiner Benachrichtigung das Problem überprüft und im Anschluss daran, den Blogeintrag auf der Webseite verfasst.
Imgur geht davon aus, dass der Hack dadurch zustande kam, dass zum Hackzeitpunkt, zwar alle Account-Daten verschlüsselt waren, jedoch ein älterer Hash-Algorithmus (SHA-256) verwendet wurde. Letztes Jahr erst hat imgur dann auf den neuen bcrypt-Algorithmus umgestellt. Der Bilderdienst vermutet hinter dem Angriff eine Brute-Force-Attacke. Was mit den geklauten Daten im Darknet passiert, ist unklar, doch so wie es aussieht, kriegt man die Informationen da nicht wieder runter.
via: winfuture
