Przestępcy ukradli 17,5 miliona kont użytkowników Disqusa. Wyciekły adresy e-mail oraz zakodowane hasła. Administratorzy poinformowali poszkodowanych użytkowników o konieczności zmiany haseł.

Kradzież miała miejsce wprawdzie w 2012 r, ale informacja o tym fakcie dopiero teraz została ujawniona przez twórcę serwisu Have I Been Pwned, Troya Hunta. Poinformował na Twitterze, że 71 proc. adresów e-mail wykradzionych z Disqusa znajdowało się w jego obszernej bazie. To właśnie do Troy’a trafiły skradzione informacje. Ekspert dyskretnie poinformował o tym administratorów serwisu. Disqus dość szybko zareagował na wyciek i wymusił zmianę haseł u poszkodowanych użytkowników. Jednocześnie serwis zapewnił w informacji na blogu, że w logach nie wykryto nieupoważnionych logowań.

Hasła, które trafiły w niepowołane ręce, zakodowano przy użyciu przestarzałego już algorytmu SHA1. Na szczęście, przed użyciem funkcji mieszającej do haseł dodano dodatkowy ciąg znaków. tzw. „sól”. Dzięki temu przestępcy prawdopodobnie nie byli w stanie odtworzyć danych ani zalogować się w innych serwisach. Disqus umożliwia zainstalowanie na własnej stronie system komentarzy. Od lipca korzystają z niego także czytelnicy CHIP-a.

Obecnie administratorzy Disqusa korzystają ze zdecydowanie mocniejszego schematu przetwarzania haseł z użyciem BCrypta. Poza „solą”, algorytm ten używa tzw. „key stretchingu” czyli wielokrotnego kodowania danych. Dane, które trafiły do sieci należały tylko do 10 proc. obecnych użytkowników serwisu.

To kolejny internetowy usługodawca, który informuje o włamaniu. Niedawno pisaliśmy w CHIP-ie, że z portalu Yahoo w 2013 roku skradziono dane dotyczące 3 miliardów kont, czyli wszystkich ówczesnych użytkowników. Za włamaniem do Yahoo stoją prawdopodobnie rosyjskie służby bezpieczeństwa.



Źródło: chip.pl