Imgur是創(chuàng)辦于美國俄亥俄州阿森斯市（Athens, Ohio）的一個(gè)在線圖片分享網(wǎng)站，因其免費(fèi)開放、不限上傳圖片的流量和大小、支持格式多（JPEG、 GIF、PNG、TIFF、BMP、PDF、XFC等）、界面清爽干凈且可編輯的屬性，受到很多人歡迎。

似乎大型的社交網(wǎng)站都難逃被黑的命運(yùn)，以前我們?cè)鴪?bào)道過Yahoo、LinkedIn、MySpace、 Facebook、Instagram等流行社媒的信息泄露事件或相關(guān)漏洞，引起了用戶警惕。近日，Imgur 也公開承認(rèn)自家網(wǎng)站在 2014 年被黑，共泄露了約 170 萬的用戶信息。此事與 Uber 被曝花錢收買黑客掩蓋信息泄露事件相隔不到一周，看起來著實(shí)耐人尋味。

Imgur 表示，2014 年其網(wǎng)站曾遭黑客攻擊，170 萬用戶的郵箱、密碼、賬戶名等遭泄露，不過與其 1.5 億的龐大用戶相比，170 萬站的比例很小。 Imgur 首席運(yùn)營官 Roy Sehgal 也聲明，由于 Imgur 網(wǎng)站“從未要求”用戶填寫真實(shí)姓名、住址、手機(jī)號(hào)等個(gè)人信息，因此，泄露的信息并不涉及用戶的隱私。

數(shù)據(jù)泄露至今已有三年多的時(shí)間，直到 11 月 23 日感恩節(jié)當(dāng)天，運(yùn)行Have I Been Pwned（國外安全檢查網(wǎng)站，在網(wǎng)站輸入郵箱后可檢測賬號(hào)是否在泄露賬號(hào)列表中,并列出泄露站點(diǎn)）的知名專家特洛伊·亨特（Troy Hunt）收到泄露的數(shù)據(jù)，并告知 Imgur，事件才浮出水面。11 月 24 日，Imgur 著手重置受影響賬戶的密碼，并發(fā)布了數(shù)據(jù)泄露通知：

11 月 23 日，Imgur 被告知 2014 年出現(xiàn)過信息泄露事件，170 萬個(gè)用戶帳戶相關(guān)的電子郵件地址和密碼遭泄露。目前事件仍在積極調(diào)查中，我們?cè)诖说谝粫r(shí)間告知您目前的狀況以及我們采取的應(yīng)對(duì)措施。

Imgur 表示對(duì)于數(shù)據(jù)庫中的密碼都采取了加密保護(hù)。但是，使用 SHA-256 哈希算法的密碼很可能被暴力破解。在 2015 年，Imgur 就已經(jīng)升級(jí)了加密算法，使用新的、更安全的 bcrypt 加密工具。不過，Imgur 還是建議用戶盡量修改密碼，

目前，Imgur 還在調(diào)查此事，尚不清楚網(wǎng)站究竟如何被入侵，也不明確為何是數(shù)據(jù)泄露為何三年后才被發(fā)覺。

不過，由于 Imgur 對(duì)此事積極、迅速的響應(yīng)，得到了 Hunt 的贊許：

我很認(rèn)為 Imgur 公司的做法很好：距離我第一封通報(bào)郵件僅 25 小時(shí) 10 分鐘，他們就查清了泄露的數(shù)據(jù)量、重置了密碼并向公眾發(fā)布了通知。很棒！

其實(shí)我們現(xiàn)在所處的環(huán)境正是如此：人們認(rèn)識(shí)到數(shù)據(jù)泄露是“新常態(tài)”，因此，企業(yè)發(fā)生數(shù)據(jù)泄露并不會(huì)影響人們對(duì)企業(yè)的看法，他們更關(guān)注的是企業(yè)的響應(yīng)方式。

Hunt 還透露了一些其他信息，目前，Have I Been Pwned 的數(shù)據(jù)庫共有超過 48 億條記錄，已經(jīng)收錄了此次泄露事件中 60% 的郵箱地址。如果 Imgur 的用戶先要確認(rèn)自己的賬號(hào)是否收到影響，可以使用 Have I Been Pwned 的數(shù)據(jù)泄露通知服務(wù)查詢。