Il y a quelques jours, Uber déclarait avoir été victime d’une campagne de piratage en 2016 qui impliquait les données personnelles de 57 millions de clients et chauffeurs. Une violation massive que l’entreprise a dissimulée pendant plus d’un an et qu’elle a tenté d’étouffer en payant 100 000 dollars aux hackers responsables. Cette fois-ci, Imgur, une entreprise qui possède un site populaire de partage de photos portant le même nom, a révélé à son tour avoir subi une violation de données en 2014, assurant pour sa part n’avoir été informée que le 23 novembre. Dans un billet de blog, Roy Sehgal, Directeur de l’exploitation de l’entreprise, a indiqué que 1,7 million de comptes sont concernés et que l’entreprise est en train de mener son enquête : « Dans l'après-midi du 23 novembre, un courriel a été envoyé à Imgur par un chercheur en sécurité qui traite fréquemment des violations de données. Il croyait qu'on lui avait envoyé des données contenant des informations sur les utilisateurs d'Imgur. Notre Directeur de l’exploitation a reçu l'e-mail tard dans la nuit du 23 novembre et s’est immédiatement entretenu avec le chercheur pour en savoir plus sur la violation potentielle. Il a simultanément informé le fondateur/PDG et le vice-président de l'ingénierie d'Imgur. Notre vice-président de l'ingénierie a ensuite pris des dispositions pour recevoir en toute sécurité les données du chercheur et a commencé à travailler pour valider que les données appartenaient aux utilisateurs d'Imgur. »
Imgur a déclaré que la violation n'incluait pas les informations personnelles, car le site n'a « jamais demandé » de vrais noms, adresses ou numéros de téléphone : « Tôt le matin du 24 novembre, nous avons confirmé qu'environ 1,7 million de comptes utilisateurs Imgur avaient été piratés en 2014. Les informations de compte compromis ne comprenaient que des adresses e-mail et des mots de passe. Imgur n'a jamais demandé de véritables noms, adresses, numéros de téléphone ou autres informations d'identification personnelle ("IIP"
, donc les informations qui ont été compromises n'incluaient PAS de telles informations personnelles. » L’entreprise a rappelé qu’elle étudie toujours la façon dont les informations du compte ont été compromises : « Nous avons toujours chiffré votre mot de passe dans notre base de données, mais elle a peut-être été piratée suite à une attaque par force brute en raison d'un algorithme de hachage plus ancien (SHA-256) qui était utilisé à ce moment-là. Nous avons mis à jour notre algorithme sur le nouvel algorithme de bcrypt l'année dernière. »
Les comptes volés ne représentent qu’une fraction des 150 millions d'utilisateurs mensuels d'Imgur.
Le piratage est passé inaperçu pendant quatre ans jusqu'à ce que les données volées soient envoyées à Troy Hunt, qui gère le service de notification de violation de données. Hunt a informé la société le jeudi 23 novembre.
Le lendemain, la société a commencé à réinitialiser les mots de passe des comptes concernés et a fait une note publique pour informer les utilisateurs de la violation.
Hunt a salué les efforts de l'entreprise pour sa réponse rapide : « J'ai révélé cet incident à Imgur tard dans la journée pendant le férié dû à Thanksgiving aux États-Unis. Qu'ils puissent le faire immédiatement, protéger les comptes touchés, informer les personnes et préparer des déclarations publiques en moins de 24 heures est absolument exemplaire. »
De son côté, l’entreprise recommande aux utilisateurs d'utiliser une combinaison différente d'e-mail et de mot de passe pour chaque site et application Web : « Veuillez toujours utiliser des mots de passe forts et les mettre à jour fréquemment. »
« Nous prenons très au sérieux la protection de vos informations et procéderons à un examen interne de la sécurité de notre système et de nos processus. Nous nous excusons que cette violation s'est produite et les inconvénients qu'elle vous a causés. Si vous avez des questions, nous vous encourageons à nous contacter à support@imgur.com », a conclu Sehgal.
Source : blog imgur