Imgur confesó que 1.7 millones de correos electrónicos y contraseñas fueron violados en el 2014 hackeo

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

El sitio de alojamiento de imágenes convertido en red social meme, Imgur, es el último servicio tecnológico que confiesa una violación de seguridad. En una publicación de blog del  viernes, reveló que los piratas informáticos habían comprometido sus sistemas en 2014, con ~ 1.7 millones de correos electrónicos y contraseñas afectados.

No se vio comprometida información adicional en el incumplimiento.

“Imgur nunca ha pedido nombres reales, direcciones, números de teléfono u otra información de identificación personal (” PII “), por lo que la información comprometida NO incluía dicha PII”, enfatiza.

Mientras que el hack se produjo hace tres años, Imgur dice que sólo salió a la luz el 23 de noviembre – cuando se puso en contacto con el investigador de seguridad, Troy Hunt, que había sido enviado los datos robados, como consecuencia de la ejecución del  haveibeenpwned servicio de notificación de violación de datos.

Desde entonces, Hunt ha twitteado para confirmar que la mayoría de las credenciales robadas ya estaban en su base de datos (aunque parece que tuiteó la fecha incorrecta para el truco de Imgur):

Imgur aún no ha confirmado cómo ocurrió la violación, diciendo que aún está investigando. Aunque nota que en 2014 usaba un algoritmo hash más antiguo (SHA-256) para cifrar contraseñas en su base de datos, y sugiere que los hackers podrían haber descifrado las credenciales robadas usando un ataque de fuerza bruta.

“Actualizamos nuestro algoritmo al nuevo algoritmo bcrypt el año pasado”, agrega.

Es triste decirlo, las revelaciones de violaciones de datos son una ocurrencia demasiado frecuente en estos días.

Y una brecha que afecta a 1.7 millones de usuarios parece casi modesta en comparación con algunos de los mega-hacks recientemente revelados.

Principalmente, los ataques masivos de Yahoo en 2013 y 2014, que aparentemente afectaron a todas las 3BN de sus cuentas .

Pero también la semana pasada, Uber reveló un gran truco que comprometió los datos personales de los usuarios y conductores de  57M Uber .

Lo que es notable aquí es la aparente velocidad de la divulgación. Entonces, mientras Imgur dice que solo se enteró del ataque el 23 de noviembre, en la mañana del 24 de noviembre había comenzado a notificar a los usuarios afectados (a través de su dirección de correo electrónico registrada) y forzar el restablecimiento de contraseñas.

También hizo una divulgación pública de la violación a través de su publicación en el blog el 24 de noviembre a las 4 p.m. PST.

Compare eso con Uber, que guardó silencio sobre una violación masiva en octubre de 2016 durante la mayor parte de un año, después de enterarse de que los piratas informáticos se robaron los datos del usuario en noviembre de 2016.

En el caso de Uber, la información comprometida también incluía PII (nombres, direcciones, números de teléfono y alrededor de 600,000 licencias de conducir estadounidenses). Por lo tanto, los riesgos asociados para los usuarios, como el robo de identidad, son mayores.

Otra cosa a tener en cuenta es que las nuevas normas entrantes en la Unión Europea establecerán un estándar de divulgación de violación de datos de 72 horas a partir de mayo del próximo año. Y bajo los controladores de datos GDPR también se enfrentarán sanciones mucho más duras por no cumplir.

Así, por ejemplo, según las nuevas normas europeas, la reciente violación divulgada por Equifax afecta a ~ 143 millones de consumidores, incluidos algunos en Europa, e incluye nombres, direcciones, fechas de nacimiento, números de seguridad social, licencias de conducir y (para un subconjunto) crédito información de la tarjeta:  podría haber resultado en una multa  tan alta como $ 68.5M, en base a las proyecciones de los ingresos anuales de la compañía para el año 2017.

Mientras que las empresas que divulgan infracciones rápidamente -como parece haber hecho Imgur aquí- tendrán un riesgo mucho menor de ser abofeteadas con grandes multas bajo GDPR, si también están manejando datos de ciudadanos europeos.

Por lo tanto, tal vez, a medida que aumenten los riesgos financieros de almacenar y manejar los datos de los usuarios, empecemos a ver más infracciones de datos divulgadas con prontitud. Si bien, con el tiempo, la esperanza de los legisladores de la UE es que habrá menos violaciones importantes a medida que la seguridad y la protección de datos reciban una mayor prioridad ejecutiva.

Webmaster En Notas Tecnológicas | +18636961394 | [email protected]

Apasionado por la ciencia y las nuevas tecnologías. Editor y webmaster amante de iOS y Android.

noviembre 27, 2017