Disqus, сервис управления и хранения комментариев, объявил об утечке данных, которая затронула 17.5 млн пользователей. Был обнародован снимок их базы данных 2012 года с информацией, включающей в себя адреса электронной почты, имена пользователей, даты регистрации и последние даты входа в виде текста.
Пароли, хэшируемые с помощью SHA1 протокола, а также модификаторы (соли) для трети затронутых пользователей также были включены в снимок. Disqus был осведомлен об утечке и получил раскрытые данные 5 октября от Троя Ханта, независимого исследователя безопасности. Сегодня сервис связался с затронутыми пользователями, сбросил их пароли и публично раскрыл данный инцидент.
Джейсон Ян, технический директор Disqus, отметил, что у компании нет доказательств того, что несанкционированные входы в систему произошли в результате компрометации учетных данных. «В виде обычного текста никаких паролей не было раскрыто, однако эти данные можно было получить путем дешифрования (хотя и маловероятно)», — указал Ян.
«В качестве меры предосторожности мы сбросили пароли для всех затронутых пользователей. Мы рекомендуем всем пользователям сменить пароли от других сервисов, если пароли являются общими. В настоящее время мы не считаем, что эти данные широко распространены или доступны. Мы можем подтвердить, что самые последние данные, которые были выложены – с июля 2012 года».
Поскольку электронные письма хранятся в текстовом виде, существует возможность того, что затронутые пользователи могут получать нежелательные email. Disqus не считает, что имеется какая-либо угроза для пользовательских аккаунтов, поскольку за последние годы безопасность паролей была значительно улучшена. Одним из таких улучшений стало изменение алгоритма хэширования паролей с SHA1 на bcrypt.
Если ваш аккаунт был задействован в утечке данных, вы получите письмо от Disqus с просьбой изменить пароль. Компания продолжает изучать утечку данных и делиться новой информацией в своем блоге по мере ее поступления.