Disqus informuje o wycieku danych ponad 17 milionów użytkowników
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Na łamach bloga popularnego systemu komentarzy Disqus pojawiła się przed weekendem informacja o wycieku danych z baz. Nie byle jakim, bo obejmującym informacje o ponad 17 milionach użytkowników, w tym o ich adresach e-mail, nazwach, datach rejestracji, ostatniego logowania, a nawet zahaszowanych hasłach. Jedynym pocieszeniem jest fakt, że upublicznione dane dotyczą migawki bazy, w której najświeższe informacje są z 2012 roku.
Twórcy Disqusa oczywiście przepraszają wszystkich za zaistniała sytuację i na wspomnianym blogu na bieżąco informują o postępach w prowadzonym przez siebie śledztwie w tej sprawie. Gdy tylko informacja o wycieku dotarła do twórców z niezależnego źródła, podjęte zostały odpowiednie kroki w celu wyjaśnienia i ostatecznie na drugi dzień zdecydowano się skontaktować z hipotetycznie poszkodowanymi użytkownikami prosząc ich o zmianę haseł.
Jednocześnie pojawia się rzetelna informacja o możliwych konsekwencjach ataku. W serwisie nie odnotowano jak dotąd żadnych nieautoryzowanych logowań, ponieważ hasła nie były przechowywane jako czysty tekst, ale zahaszowane algorytmem SHA-1 z dodatkową „solą”, natomiast pozostałe dane z adresami e-mail na czele nie były już tak zabezpieczone. W efekcie użytkownicy będą się więc musieli liczyć z otrzymywaniem dodatkowego spamu.
Choć skala ataku wydaje się spora, na ten moment Disqus nie widzi dodatkowego zagrożenia: Zapobiegawczo wymuszamy resetowanie haseł wszystkich użytkowników. Kontaktujemy się z wszystkimi , których informacje zostały zawarte w bazie, w celu poinformowania ich o sytuacji. Twórcy dodają, że od 2012 roku bazy są dużo lepiej chronione, w efekcie wprowadzanych na bieżąco udoskonaleń zabezpieczeń i szyfrowania. Zmiany objęły między innymi przejście z algorytmu SHA-1 na bcrypt.