Во время данного инцидента неизвестный злоумышленник смог получить данные 17,5 миллионов пользовательских аккаунтов.
Компания узнала об инциденте только на днях, когда австралийский исследователь компьютерной безопасности Трой Хант (Troy Hunt) получил копию похищенных данных и тут же связался с разработчиками сервиса.
Позже Хант разместил твит, в котором рассказал, что компании Disqus понадобилось 23 часа и 42 минуты, чтобы провести собственное расследование и подтвердить масштабную утечку.
Атака произошла в июле 2012 года
Компания Disqus, уже начала уведомлять пользователей, чьи данные содержались в базе Ханта.
Выяснилось, что хакеры смогли украсть адреса электронной почты, имена пользователей Disqus, даты регистрации и последние даты входа в текстовом формате. Зашифрованные пароли SHA-1 содержались примерно в 30 процентах из 17,5 миллионов записей.
Disqus считает, что так как последняя запись датирована июлем 2012 года, это может быть наглядным свидетельством того, когда произошло нарушение безопасности.
Таким образом, хакеры заполучили данные пользователей, которые зарегистрировались в сервисе с 2007 года, когда сервис начал работу, до середины 2012 года.
Пароли уже сброшены
Disqus сообщает в предупреждении безопасности:
Мы не считаем, что прямо сейчас есть какие-либо угрозы для учетной записи пользователя. Начиная с 2012 года в рамках усиления безопасности, мы значительно улучшили нашу базу данных и шифрование, чтобы предотвратить нарушения и повысить безопасность паролей.
Компания также сообщила, что в конце 2012 года алгоритм хэширования пароля был переключен с SHA1 на bcrypt.
Тот факт, что пароли были зашифрованы SHA-1, означает, что большая часть скомпрометированных учетных записей была защищена. Доказательств несанкционированного входа в систему, связанных с данным инцидентом, сотрудники компании не обнаружили.
Тем не менее, даже если опасность является низкой, компания сбросила пароли для всех затронутых пользователей. Disqus также сообщает, что расследование инцидента продолжается. Более подробная информация, вероятно, появится в ближайшие недели.
Угрозы безопасности
• Разработчик антивируса Avast оштрафован на 16,5 млн долларов за продажу данных пользователей
• Хакеры взломали серверы AnyDesk, пользователям нужно сбросить пароли
• «Яндекс ID» предотвратил 50 млн подозрительных попыток входа в аккаунты за год
• Учетные данные 70 миллионов пользователей обнаружены в даркнете
• Уязвимость LeftoverLocals позволяет получать ИИ-данные из GPU от AMD, Apple, Qualcomm
• iShutdown – инструмент от «Лаборатории Касперского» для обнаружения шпионской программы Pegasus на iPhone