Décidément, c’est la saisons des aveux pour les sociétés du Web. A peine quelques jours après l’annonce fracassante du piratage de Uber, voici que Imgur avoue une brèche et un vol de donnée datant de 2014.
Dans le cas présent, le bilan s’élève à 1,7 millions de victimes du côté du populaire service de partage d’images en ligne. Via un communiqué officiel, Imgur vient de dévoiler qu’il a été victime d’un important piratage en 2014, ayant conduit à la compromission des adresses e-mails et mots de passe de 1,7 millions d’utilisateurs inscrit au service.
La société affirme avoir été informée par un chercheur en sécurité le 23 novembre 2017 qu’un tel incident s’était produit en 2014. Ensuite, la direction de Imgur a été prévenue de la situation.Autant dire que le temps de détection de la brèche a été très long, puisque cela survient 3 ans après les faits !
Le service sécurité de la société a certifié qu’environ 1,7 million de comptes utilisateurs Imgur ont été touchés, une fraction donc parmi les 150 millions au total. Aucune autre information personnelle n’a pu être compromise car non détenu par le service (uniquement mail & mot de passe).
La société a également déclaré que les mots de passe volés étaient sous forme de hash via l’algorithme de hachage SHA-256 (pouvant être cassé car pas associé à un salt). Cependant, le chef d’exploitation d’Imgur, Roy Sehgal, a déclaré que le site Web avait depuis migré vers le plus moderne bcrypt (bien plus robuste) depuis l’an dernier.
La société a commencé à notifier les utilisateurs concernés en appliquant une réinitialisation obligatoire du mot de passe. De plus, ceux qui utilisent la même combinaison d’adresse e-mail et de mot de passe sur plusieurs autres sites et applications sont également invités à modifier ces derniers également.
Imgur continue d’enquêter activement sur l’intrusion du piratage et partagera les détails dès qu’ils seront disponibles. L’expert en sécurité, Troy Hunt, qui a informé Imgur de l’incident, a félicité la société pour sa réaction rapide suite à la notification de violation et la divulgation de la violation de données.