Disqus informuje o wycieku danych ponad 17 milionów użytkowników

Na łamach bloga popularnego systemu komentarzy Disqus pojawiła się przed weekendem informacja o wycieku danych z baz. Nie byle jakim, bo obejmującym informacje o ponad 17 milionach użytkowników, w tym o ich adresach e-mail, nazwach, datach rejestracji, ostatniego logowania, a nawet zahaszowanych hasłach. Jedynym pocieszeniem jest fakt, że upublicznione dane dotyczą migawki bazy, w której najświeższe informacje są z 2012 roku.

Twórcy Disqusa oczywiście przepraszają wszystkich za zaistniała sytuację i na wspomnianym blogu na bieżąco informują o postępach w prowadzonym przez siebie śledztwie w tej sprawie. Gdy tylko informacja o wycieku dotarła do twórców z niezależnego źródła, podjęte zostały odpowiednie kroki w celu wyjaśnienia i ostatecznie na drugi dzień zdecydowano się skontaktować z hipotetycznie poszkodowanymi użytkownikami prosząc ich o zmianę haseł.

Jednocześnie pojawia się rzetelna informacja o możliwych konsekwencjach ataku. W serwisie nie odnotowano jak dotąd żadnych nieautoryzowanych logowań, ponieważ hasła nie były przechowywane jako czysty tekst, ale zahaszowane algorytmem SHA-1 z dodatkową „solą”, natomiast pozostałe dane z adresami e-mail na czele nie były już tak zabezpieczone. W efekcie użytkownicy będą się więc musieli liczyć z otrzymywaniem dodatkowego spamu.

Choć skala ataku wydaje się spora, na ten moment Disqus nie widzi dodatkowego zagrożenia: Zapobiegawczo wymuszamy resetowanie haseł wszystkich użytkowników. Kontaktujemy się z wszystkimi , których informacje zostały zawarte w bazie, w celu poinformowania ich o sytuacji. Twórcy dodają, że od 2012 roku bazy są dużo lepiej chronione, w efekcie wprowadzanych na bieżąco udoskonaleń zabezpieczeń i szyfrowania. Zmiany objęły między innymi przejście z algorytmu SHA-1 na bcrypt.