Tramite un post nel blog ufficiale, Disqus informa che è stata scoperta una vulnerabilità di sicurezza che affligge il database dal 2012, cosa che ha permesso di scoprire un attacco subito ai propri database, individuando uno snapshot rimasto esposto e quindi vittima dell’attacco. La scoperta è stata fatta da un ricercatore indipendente Troy Hunt, il quale ha informato l’azienda.
I dati trafugati sono username, date di accesso e, per un terzo degli utente, le password criptate in SHA1. Per ora non sono stati registrati tentativi di accesso non autorizzati, rimane comunque il rischio relativo alle password che possono esser decriptate (certo non senza alcune difficoltà). L’azienda riporta che i dati più recenti trafugati sono comunque relativi il 2012.
Da fine 2012 in poi l’azienda ha migliorato la sicurezza dei propri database passando dall’ormai vecchio ed obsoleto SHA1 a Bcrypt; ad ogni modo Disqus contatterà tutti gli account a rischio per reimpostare la password; cosa da fare e consigliabile in particolare se si ha la (cattiva) abitudine di condividere la medesima password anche con altri servizi online.
Approfondimenti: Security Alert: User Info Breach