В пятницу вечером веб-сервис Disqus подтвердил инцидент с утечкой данных, имевший место летом 2012 года. Тогда неизвестный злоумышленник скомпрометировал 17,5 миллионов учетных записей пользователей. Об утечке компания узнала от австралийского исследователя Троя Ханта (Troy Hunt), который получил в распоряжение копию украденных данных, после чего сразу сообщил об этом Disqus.
Согласно одному из твитов Ханта, Disqus потребовалось 23 часа и 42 минуты на расследование данных и подтверждение утечки.
Затем веб-сервис Disqus сразу же принялся уведомлять своих пользователей о том, что их данные могли быть скомпрометированы. По данным компании, хакеры украли в текстовом виде адреса электронной почты, имена пользователей Disqus, даты регистрации и последние даты входа. Шифрованные SHA-1 пароли были задействованы только у трети из 17,5 миллионов пользователей.
Disqus объясняет, что дату утечки выдает дата последней созданной учетной записи, фигурирующей в утечке, то есть июль 2012 года. Это значит, что пострадали аккаунты, созданные в период с 2007 (год, когда компания была основана) по 2012 год.
«Мы считаем, что на данный момент нет никакой угрозы для учетных записей наших пользователей. С 2012 мы значительно улучшили безопасность нашей базы данных и ее шифрование, чтобы минимизировать риски компрометации важной информации», - говорят в Disqus.
Также Disqus заявил, что с конца 2012 года алгоритм хеширования пароля поменялся с SHA1 на bcrypt.
Веб-сервис сбросил пароли всех затронутых пользователей, инцидент все еще находится в стадии расследования. Более подробная информация, вероятно, появится в ближайшие недели.
