Imgurのユーザー170万件分のユーザーメールアドレスとパスワードが漏洩。
Notice of Data Breach | The Imgur Blog
Imgurがハッキング被害に
イメージ共有サイトで知られるImgurが、ハッキング被害に遭った。
オーストラリアのセキュリティ研究者、Troy Hunt氏の報告によって、Imgurは自社のサーバーがハッキング被害に遭ったことを知った。
Imgurは、世界最大規模のウェブサイトで、月間1億5千万アクティブユーザーを抱える巨大なWebサービスである。
2014年にも情報漏えいが発生したが、その時も1億3千万程の月間ユーザーのメールアドレスとパスワードが漏洩した事が明らかになっている。
迅速な対応と情報公開
Imgurは直ちにしかるべき行動を取り、プレスリリースにまで踏み切った。
今回のインシデントをImgurに報告したTroy Hunt氏は、Imgurの行動の早さについて、以下のようにコメントしている。
I want to recognise @imgur's exemplary handling of this: that's 25 hours and 10 mins from my initial email to a press address to them mobilising people over Thanksgiving, assessing the data, beginning password resets and making a public disclosure. Kudos! https://t.co/jV8MDscXLT
— Troy Hunt (@troyhunt) November 25, 2017
以下に、上記ツイートの翻訳を掲載する。
Imgurのインシデントに対する模範的な対応について賞賛したい。Thanksgiving休暇の真っ只中だったのにも関わらず、私のメールによる一報から、たった25時間10分でデータ分析、パスワードリセット、プレスリリースまで終えてしまったのだ。ーーTroy Hunt氏のTwitterの翻訳
先週記事にも書いたUberのインシデント対応の酷さが露呈した事もあってか、今回のImgurのインシデント対応の手際の良さは特に際立った。
漏洩はメールアドレスとパスワードのみ
Imgurのインシデントでは、ImgurというサービスがEメールアドレスとパスワードしかユーザーに求めていない為、漏洩した情報もEメールアドレスとパスワードに留まると言う。
ハッキングが行われた際、Imgurのユーザーアカウント用のパスワードはSHA-256でハッシュ化されてサーバーに保存されていたようだ。
例えば、MD5DDecryptのようなサービスを使えば、同サービスのデーターベースに登録されている値をマッチングした場合において、SHA-256のハッシュ値を平文パスワードに複合することが出来る。
今回インシデントが明らかになった後は、ImgurはSHA-256よりもより安全な暗号化アルゴリズムを使用し始めたと公表している。
Imgurは、同サービスのユーザーに対して情報漏えいについてアナウンスするメールを送信しており、ユーザーに対してパスワード変更を求めている。また、同社のインシデントに関する調査も継続中だ。
(※追記 ed3159さんからご指摘を頂き、被害に遭ったユーザー件数の修正をさせて頂きました。間違った情報を掲載してしまい、大変失礼致しました。)