Situs Berbagi Gambar Populer imgur Diretas pada Tachun 2014; Kata Sandi Terancam

0
74

Hanya setelah beberapa hari Uber mengakui pelanggaran data tahun lalu terhadap 57 juta pelanggan, situs berbagi gambar populer tersebut mengungkapkan bahwa mereka mengalami pelanggaran data utama pada tahun 2014 yang mengancam alamat email dan kata sandi dari 1,7 juta akun pengguna.

Dalam sebuah posting blog yang diterbitkan pada hari Jumat, Imgur mengklaim bahwa perusahaan tersebut telah diberitahu tentang pelanggaran data tiga tahun pada tanggal 23 November ketika seorang peneliti keamanan mengirim email ke perusahaan tersebut setelah mengirimkan data yang dicuri tersebut.

Chief Operating Officer Imgur (COO) kemudian memberitahukan pendiri perusahaan dan Wakil Presiden Teknik (Vice President of Engineering) untuk masalah ini sebelum mulai bekerja untuk memvalidasi bahwa data tersebut milik pengguna Imgur.

Setelah menyelesaikan validasi data, perusahaan tersebut mengkonfirmasi pada hari Jumat pagi bahwa pelanggaran data tahun 2014 berdampak sekitar 1,7 juta akun pengguna Imgur (sebagian kecil dari 150 juta basis pengguna) dan bahwa informasi yang dikompromikan hanya mencakup alamat email dan kata sandi.

Karena Imgur tidak pernah meminta nama asli, nomor telepon, alamat, atau informasi pengenal pribadi lainnya (PII), tidak ada informasi pribadi lainnya yang diduga terpapar dalam pelanggaran data.

Perusahaan juga mengatakan bahwa password yang dicuri itu diacak dengan algoritma hashing SHA-256 yang lebih tua – yang dapat dengan mudah retak dengan menggunakan serangan brute force.

Namun, Imgur’s COO Roy Sehgal mengatakan bahwa situs tersebut telah pindah dari SHA-256 ke pengacak password bcrypt yang lebih kuat tahun lalu.

“Kami selalu mengenkripsi kata sandi Anda di database kami, namun mungkin sudah retak dengan kekerasan karena algoritma hashing yang lebih tua (SHA-256) yang digunakan saat itu,” kata layanan berbagi gambar tersebut. “Kami memperbarui algoritma kami ke algoritma bcrypt baru tahun lalu.”

Perusahaan telah mulai memberi tahu pengguna yang terpengaruh bersamaan dengan menerapkan perubahan kata sandi.

Selain itu, mereka yang menggunakan kombinasi alamat email dan kata sandi yang sama di beberapa situs dan aplikasi juga disarankan untuk mengubah rinciannya juga.

Masih diketahui bagaimana insiden ini terjadi dan tidak diketahui selama kurang lebih tiga tahun. Imgur masih aktif menyelidiki intrusi hacking dan akan membagikan informasi segera setelah tersedia.

Pakar keamanan Troy Hunt yang memberi tahu Imgur bahwa insiden tersebut memuji perusahaan tersebut karena tanggapannya yang cepat terhadap pemberitahuan pelanggaran dan pengungkapan pelanggaran data.

“Saya ingin mengenali penanganan teladan dari imgur tentang hal ini: yaitu 25 jam dan 10 menit dari email awal saya ke alamat pers kepada mereka yang memobilisasi orang selama Thanksgiving, menilai data, memulai penyetoran ulang kata sandi dan membuat pengungkapan publik. Kudos!” Berburu tweeted

“Ini benar-benar di mana kita berada sekarang: orang-orang menyadari bahwa pelanggaran data adalah hal yang normal dan mereka menilai organisasi bukan pada kenyataan bahwa mereka memilikinya, namun bagaimana mereka menangani hal itu ketika hal itu terjadi.”

Imgur adalah perusahaan lain dalam serangkaian pelanggaran keamanan yang terjadi bertahun-tahun yang lalu namun baru terungkap pada tahun 2017. Perusahaan lain mengungkapkan pelanggaran besar yang terjadi bertahun-tahun setelah memasukkan Yahoo, Uber, LinkedIn, Disqus, dan MySpace.