Imgur, 2014 년 해킹으로 1.7M 이메일과 비밀번호가 유출됨

https://techcrunch.com/2017/11/27/imgur-says-1-7m-emails-and-passwords-were-breached-in-2014-hack/?ncid=rss

이미지 호스팅 사이트가 meme 소셜 네트워크로 변신 한 Imgur는 '보안 침해에 빠질 수있는 최신 기술 서비스입니다. A의 블로그 게시물  금요일 해커가 영향을 1.7M의 이메일과 비밀번호 ~ 2014 년에 시스템을 손상 한 것으로 나타났습니다.

위반시 추가 정보가 노출되지 않았습니다.

"Imgur는 실명, 주소, 전화 번호 또는 기타 개인 식별 정보 ("PII ")를 요구하지 않았으므로 손상된 정보에는 그러한 PII가 포함되지 않았습니다."라고 강조합니다.

Imgur는 3 년 전 해킹이 발생했지만 11 월 23 일에 보안 연구소의 트로이 헌트 (Troy Hunt)와 만났을 때  데이터 유출 사건 통지 서비스 를 실행 한 결과 훔친 데이터를 보낸 것으로 밝혀졌습니다  .

헌트는 훔친 자격 증명의 대부분이 이미 자신의 데이터베이스에 있음을 확인하기 위해 트위터를 열었습니다 (Imgur 해킹에 대한 잘못된 날짜를 트위터로 표시 한 것 같습니다).

Have I been pwned?

✔@haveibeenpwned

New breach: imgur was hacked in 2013. 4 years later, 1.7M records with email addresses and cracked passwords surfaced. 60% were already in @haveibeenpwned. Read more: http://www.zdnet.com/article/imgur-reveals-hackers-stole-login-data/ …

9:02 AM - Nov 25, 2017

Imgur confirms it was hacked

The hackers stole email addresses and passwords.

zdnet.com

•  44 Replies
 
•  271271 Retweets
 
•  228228 likes

Twitter Ads info and privacy

Imgur는 아직 침해가 어떻게 발생했는지 아직 확인하지 않고 있습니다. 2014 년 데이터베이스에서 암호를 암호화하기 위해 이전 해싱 알고리즘 (SHA-256)을 사용하고 있었기 때문에 해커가 무차별 공격을 사용하여 도용 된 자격 증명을 해독 할 수 있음을 알 수 있습니다.

"작년에 우리 알고리즘을 새로운 bcrypt 알고리즘으로 업데이트했습니다."라고 덧붙입니다.

슬프게 말하면, 데이터 유출 공개는 요즘 너무 규칙적인 일입니다.

그리고 최근 공개 된 메가 해킹과 비교해 볼 때 1.7M 사용자에게 영향을주는 침해는 거의 완만하게 나타납니다.

기본적으로 야후는 2013 년과 2014 년에 대규모 해킹을 실시했는데, 이는 30 억 건의 계정에 모두 영향을 미쳤다 .

그러나 지난 주 Uber는 57M Uber 사용자 및 드라이버 의 개인 데이터를 손상시키는 거대한 해킹을 공개했습니다  .

여기서 주목할만한 점은 명백한 공개 속도입니다. 따라서 Imgur는 11 월 23 일 오전 11시 23 분에 해킹 사실을 알게되었지만 영향을받은 사용자에게 등록 된 전자 메일 주소를 통해 알리고 비밀번호 재설정을 강제하기 시작했습니다.

또한 11 월 24 일 오후 4시 PST에 블로그 게시물을 통해 위반 사실을 공개했습니다.

2016 년 11 월에 해커가 사용자 데이터를 훔친다는 사실을 알게 된 Uber와 비교해보십시오.

Uber의 경우, 손상된 정보에는 PII (이름, 주소, 전화 번호 및 약 60 만 개의 미국 운전 면허증)도 포함됩니다. 따라서 ID 도용과 같은 사용자 관련 위험이 더 커집니다.

또 다른 사실은 유럽 연합 (EU)에서 오는 새로운 규칙에 따라 내년 5 월부터 72 시간 동안 데이터 유출 공개 표준이 설정된다는 것입니다. 그리고 GDPR 하에서는 데이터 통제자들은 준수하지 않는 것에 대해 훨씬 더 엄격한 처벌을 받게 될 것입니다.

예를 들어, 유럽의 들어오는 규칙에 따르면, Equifax가 최근에 위반 한 내용 - 유럽의 일부를 포함하여 143,000 명의 소비자를 비롯하여 이름, 주소, 생년월일, 사회 보장 번호, 운전 면허증 및 (부분 집합의) 크레딧 포함 카드 정보 -   2017 년 동안 회사의 연간 매출액 전망에 근거한 최고 $ 68.5M 의 벌금을 부과 할 수있었습니다 .

Imgur가 여기에서 한 것처럼 즉시 위반을 공개하는 회사는 유럽 시민 데이터를 처리하는 경우 GDPR에 따라 대량의 벌금이 부과 될 위험이 훨씬 적습니다.

따라서 사용자 데이터를 저장하고 처리하는 재정적 위험이 증가함에 따라 더 많은 데이터 유출이 즉각적으로 드러날 것입니다. 시간이 지남에 따라 EU 의원은 보안 및 데이터 보호가 실행 우선 순위를 부여 받으면서 발생하는 중대한 위반이 거의 없기를 희망합니다.