Imgur: Hacker erbeuteten vor ein paar Jahren fast zwei Millionen Login-Daten

Imgur: Hacker erbeuteten vor ein paar Jahren fast zwei Millionen Login-Daten

Olivia von Westernhagen

(Bild: Screenshot)

Imgur-Nutzer sollten umgehend ihr Passwort ändern: Die Wahrscheinlichkeit, dass ihr Account vor drei oder vier Jahren kompromittiert wurde, ist hoch. Der Hoster erfuhr erst jetzt vom Hack und forscht nun nach den Hintergründen.

Der Bilder-Hoster Imgur ist 2013 oder 2014 zur Zielscheibe eines Hacker-Angriffs geworden. Wie aus einem Blogeintrag des Unternehmens hervorgeht, gelangten die Angreifer in den Besitz von etwa 1.7 Millionen Login-Daten.

Laut Imgur blieb der Vorfall damals unbemerkt. Erst jetzt habe Sicherheitsforscher Troy Hunt, der Betreiber des Passwort-Prüfdienstes Have I Been Pwned, die Verantwortlichen im Unternehmen darauf hingewiesen. Daraufhin habe der Hoster die betroffenen Nutzer per E-Mail informiert und zur umgehenden Passwortänderung aufgefordert. Nähere Details zum Angriff sind laut Imgur bislang noch nicht bekannt; derzeit laufen interne Untersuchungen. Der genaue Zeitpunkt des Hacks ist ebenfalls noch unklar: Hunt nennt das Jahr 2013, Imgur hingegen 2014.

Der Bilder-Hoster betont, dass es sich bei den abgegriffenen Daten ausschließlich um Kombinationen aus E-Mail-Adressen und Passwörtern handele. Namen, Adressen und andere Informationen, die direkte Rückschlüsse auf die Identität der Nutzer zulassen, erhebe das Unternehmen grundsätzlich nicht. Die Passwörter seiner Nutzer habe Imgur damals mit dem als sicher geltenden Algorithmus SHA-256 verschlüsselt. Seit vergangenem Jahr nutze das Unternehmen stattdessen die noch stärkere Hashfunktion bcrypt, die das Knacken von halbwegs guten Passwörtern mittels Brute-Force-Angriff aufgrund eines weit höheren Zeitaufwands zusätzlich erschwert.

Hunt lobt Imgurs schnelle Reaktion

In mehreren Tweets lobte Troy Hunt die schnelle Reaktion des Imgur-Teams auf seinen Hinweis. Er fügte hinzu, dass man in einer Zeit, in der erfolgreiche Hackerangriffe an der Tagesordnung seien, Unternehmen nicht danach beurteilen sollte, dass sie gehackt wurden, sondern danach, wie sie anschließend mit dem Vorfall umgingen. Extreme Negativ-Beispiele für den Umgang mit dem Diebstahl von Kundendaten lieferten dieses Jahr unter anderem Yahoo, das Finanzdienstleistungsunternehmen Equifax und der Fahrdienst-Vermittler Uber.

Troy wies außerdem darauf hin, dass etwa 60 Prozent der beim Angriff auf Imgur kopierten E-Mail-Adressen bereits bei früheren Hacks auf andere Webseiten abgefangen worden seien und sich somit bereits zuvor in der Datenbank des Have-I-Been-Pwned-Projekts befunden hätten. (ovw)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.