Der Bilderdienst Imgur hat Ende vergangener Woche einen Hackerangriff eingeräumt. Unbekannte erbeuteten bei dem Einbruch 1,7 Millionen E-Mail-Adressen und Passwörter. Letztere waren mit dem Hash-Algorithmus SHA-256 geschützt, der im Gegensatz zu SHA-1 derzeit noch als ausreichend sicher gilt. Allerdings blieb der Datenverlust jahrelang unentdeckt – er ereignete sich bereits im Jahr 2014.
Imgur erfuhr nach eigenen Angaben erst am vergangenen Donnerstag von dem Angriff. Zuvor hatte der australische Sicherheitsforscher Troy Hunt, der die Website Have I Been Pwned betreibt, das Unternehmen über die ihm zugespielten Daten informiert. Bereits am darauffolgenden Tag setze Imgur die Passwörter der betroffenen Konten zurück und wies öffentlich auf den Einbruch in seine Systeme hin .
Hunt lobte das Unternehmen für seine schnelle Reaktion. „Ich habe Imgur erst am späten Nachmittag während den laufenden Feierlichkeiten zum US-Erntedankfest informiert“, sagte Hunt. „Das sie sich sofort darum kümmerten und in weniger als 24 Stunden betroffene Konten absicherten, Nutzer informierten und eine öffentliche Stellungnahme vorbereiteten, ist absolut vorbildlich.“
Der Angriff selbst hätte offenbar deutlich schlimmer ausfallen können. Die kompromittierten 1,7 Millionen Konten sind nur ein Bruchteil der 150 Millionen monatlich aktiven Nutzer, die Imgur hat. Darüber hinaus betonte das Unternehmen, das keine weiteren persönlichen Daten gestohlen wurden, weil man Nutzer weder nach ihren echten Namen, noch nach Adressen oder Telefonnummern frage. Hunt ergänzte, dass rund 60 Prozent der E-Mail-Adressen bereits in der Datenbank von Have I Been Pwned seien, die inzwischen mehr als 4,8 Milliarden Einträge habe.
Roy Sehgal, Chief Operating Officer von Imgur, erklärte zudem, dass die Ermittlungen zu dem Einbruch noch nicht abgeschlossen seien. Bisher sei noch unklar, wie die Hacker in Imgurs Systeme eingebrochen seien. Man habe seit 2014 jedoch die Sicherheit der eigenen Systeme verbessert. Unter anderem würden Passwörter inzwischen mit Bcyrpt verschlüsselt, das als sicherer als SHA-256 gelte.
Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens
[mit Material von Zack Whittaker, ZDNet.com ]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
