ESETは2017年11月27日(米国時間)、「Imgur hit by hack as account details are stolen for 1.7 million users」において、2014年の時点でイメージホスティングWebサイト「Imgur」が攻撃を受け、登録されていたユーザー170万人分のアカウントデータが流出していたと発表した。
Imgurはこの件に関して、2017年11月23日に、メールアドレスが流出していないかどうかを確認できるWebサイト「HaveIBeenPwned」から通知を受けて気づいたと発表。同社は指摘を受けてから迅速に状況を発表するとともに調査を開始。現在も詳しい調査を継続していると説明がある。
漏洩したパスワードはSHA-256を使って暗号化されていたが、現在ではより強いbcryptへ切り替え済みだという。ESETはImgurにアカウントを持っているいないにかかわらず、異なるアカウントで同じパスワードは使用しないよう呼びかけている。
大規模なデータ漏洩が数年後に発見されるケースが相次いでいる。今後も同様の事案が発覚する可能性があり注意が必要。記事の中でESETが指摘しているように、サービスごとに異なるパスワードを使うことが好ましいとされている。同じパスワードを使い回している場合、1カ所から漏洩したパスワードがほかのサービスのログインに流用される危険性がある。