L’un des services de partage d’images les plus populaires au monde a été piraté. Dans une note publiée vendredi dernier (24), Imgur a reconnu une invasion qui a compromis au moins 1,7 million de comptes. Tous ont été réinitialisés pour de nouveaux mots de passe.
L’attaque a été signalée le 23 par Troy Hunt, responsable du site Have I Been Pwned, qui affirme avoir reçu une liste de données correspondant à des comptes créés sur Imgur. Comme le service utilise des enregistrements simplifiés, qui ne nécessitent pas d’informations telles que le nom complet et le numéro de téléphone, seules les adresses électroniques et les mots de passe ont été divulgués.
Bien que ce soit un jour férié de Thanksgiving le 23 aux États-Unis, l’équipe de sécurité d’Imgur a agi rapidement. Moins de 24 heures après la notification, l’entreprise a vérifié les comptes compromis, réinitialisé les mots de passe de tous les comptes, communiqué avec les utilisateurs et publié une déclaration sur son blog à propos du problème.
Comme l’enquête vient de commencer, on ne sait pas encore comment l’invasion a été menée. On sait pour l’instant que l’attaque a eu lieu en 2014, lorsque Imgur a utilisé le système de hachage SHA-256. La société a changé ce système pour bcrypter l’année dernière. Aucun des comptes créés depuis lors n’a été compromis.
En fait, le nombre de comptes touchés est proportionnellement faible : Imgur compte aujourd’hui environ 150 millions d’utilisateurs enregistrés.
Il n’y a pas d’informations sur l’utilisation abusive des comptes concernés. Cependant, Imgur avertit que de nombreux utilisateurs ont l’habitude d’utiliser le même mot de passe dans plusieurs services, c’est pourquoi il recommande de changer la combinaison de tous ces services.
