O ataque foi reportado no dia 23 por Troy Hunt, responsável pelo site Have I Been Pwned, que afirma ter recebido uma lista de dados correspondente a contas criadas no Imgur. Como o serviço utiliza cadastros simplificados, que não exigem informações como nome completo e número de telefone, apenas endereços de email e senhas vazaram. Apesar de ter sido feriado de Ação de Graças no dia 23 nos Estados Unidos, o time de segurança do Imgur agiu rápido. Menos de 24 horas depois da notificação, a empresa checou as contas comprometidas, redefiniu as senhas de todas elas, comunicou os usuários e publicou um comunicado sobre o problema em seu blog.
Como a investigação acabou de começar, ainda não está claro como a invasão foi conduzida. Sabe-se, até agora, que o ataque ocorreu em 2014, época em que o Imgur utilizava o sistema de hash SHA-256. A empresa trocou esse sistema pelo bcrypt no ano passado. Nenhuma das contas criadas desde então foi comprometida. Na verdade, o número de contas afetadas é proporcionalmente baixo: o Imgur tem cerca de 150 milhões de usuários cadastrados atualmente. Não há informação sobre uso indevido das contas afetadas. No entanto, o Imgur alerta que muitos usuários têm o hábito de utilizar a mesma senha em vários serviços, razão pela qual recomenda mudanças de combinação em todos eles. Com informações: ZDNet