Imgur是创办于美国俄亥俄州阿森斯市（Athens, Ohio）的一个在线图片分享网站，因其免费开放、不限上传图片的流量和大小、支持格式多（JPEG、 GIF、PNG、TIFF、BMP、PDF、XFC等）、界面清爽干净且可编辑的属性，受到很多人欢迎。

似乎大型的社交网站都难逃被黑的命运，以前我们曾报道过Yahoo、LinkedIn、MySpace、 Facebook、Instagram等流行社媒的信息泄露事件或相关漏洞，引起了用户警惕。近日，Imgur 也公开承认自家网站在 2014 年被黑，共泄露了约 170 万的用户信息。此事与 Uber 被曝花钱收买黑客掩盖信息泄露事件相隔不到一周，看起来着实耐人寻味。

Imgur 表示，2014 年其网站曾遭黑客攻击，170 万用户的邮箱、密码、账户名等遭泄露，不过与其 1.5 亿的庞大用户相比，170 万站的比例很小。 Imgur 首席运营官 Roy Sehgal 也声明，由于 Imgur 网站“从未要求”用户填写真实姓名、住址、手机号等个人信息，因此，泄露的信息并不涉及用户的隐私。

数据泄露至今已有三年多的时间，直到 11 月 23 日感恩节当天，运行Have I Been Pwned（国外安全检查网站，在网站输入邮箱后可检测账号是否在泄露账号列表中,并列出泄露站点）的知名专家特洛伊·亨特（Troy Hunt）收到泄露的数据，并告知 Imgur，事件才浮出水面。11 月 24 日，Imgur 着手重置受影响账户的密码，并发布了数据泄露通知：

11 月 23 日，Imgur 被告知 2014 年出现过信息泄露事件，170 万个用户帐户相关的电子邮件地址和密码遭泄露。目前事件仍在积极调查中，我们在此第一时间告知您目前的状况以及我们采取的应对措施。

Imgur 表示对于数据库中的密码都采取了加密保护。但是，使用 SHA-256 哈希算法的密码很可能被暴力破解。在 2015 年，Imgur 就已经升级了加密算法，使用新的、更安全的 bcrypt 加密工具。不过，Imgur 还是建议用户尽量修改密码，

目前，Imgur 还在调查此事，尚不清楚网站究竟如何被入侵，也不明确为何是数据泄露为何三年后才被发觉。

不过，由于 Imgur 对此事积极、迅速的响应，得到了 Hunt 的赞许：

我很认为 Imgur 公司的做法很好：距离我第一封通报邮件仅 25 小时 10 分钟，他们就查清了泄露的数据量、重置了密码并向公众发布了通知。很棒！

其实我们现在所处的环境正是如此：人们认识到数据泄露是“新常态”，因此，企业发生数据泄露并不会影响人们对企业的看法，他们更关注的是企业的响应方式。

Hunt 还透露了一些其他信息，目前，Have I Been Pwned 的数据库共有超过 48 亿条记录，已经收录了此次泄露事件中 60% 的邮箱地址。如果 Imgur 的用户先要确认自己的账号是否收到影响，可以使用 Have I Been Pwned 的数据泄露通知服务查询。