El popular servicio de almacenamiento de imágenes Imgur ha reconocido públicamente que sufrió un ataque a gran escala en 2014, en el que unos hackers robaron los correos electrónicos y las contraseñas de 1’7 millones de sus usuarios. Troy Hunt, experto en seguridad y creador de la página web Have I Been Pwned, que se especializa en informar de robos de bases de datos, alertó a Imgur de que era posible que hubiese información de su base de datos en internet, a lo que la compañía reconoció el robo y lo notificó a sus usuarios.
Según Roy Sehgal, jefe de operaciones de Imgur, “la información robada de las cuentas solo incluye los correos electrónicos y las contraseñas. Imgur nunca ha solicitado a sus usuarios nombres reales, ni direcciones, ni números de teléfono o cualquier otra información personal que pueda usarse para identificarles.” También ha declarado que la compañía está investigando cómo accedieron los hackers a los datos y cómo se efectuó el robo.
Podría tratarse de un ataque de fuerza bruta al algoritmo de contraseñas
Entre las posibilidades, se baraja que simplemente hayan realizado un ataque de fuerza bruta al algoritmo que usaban en 2014, que era algo antiguo (SHA-256) y era vulnerable a un ataque de esas características con suficiente potencia. Sin embargo, todavía no están seguros de ello, y desde Imgur también han afirmado que desde entonces han actualizado su algoritmo de encriptación de contraseñas.
Por su parte, Imgur ha informado del robo a sus usuarios y les ha enviado un correo electrónico solicitando que actualicen sus contraseñas y no utilicen la misma contraseña en otras aplicaciones o servicios. A lo cual nosotros añadimos la recomendación de que cambiéis la contraseña directamente desde la página web, para evitar un posible ataque de phishing.
Tras esta reacción, Troy Hunt ha felicitado a la compañía por su rápida respuesta y por ser honesto y claro con los datos del robo.