Tramite un post nel blog ufficiale, Disqus informa che è stata scoperta una vulnerabilità di sicurezza che affligge il database dal 2012, cosa che ha permesso di scoprire un attacco subito ai propri database, individuando uno snapshot rimasto esposto e quindi vittima dell’attacco. La scoperta è stata fatta da un ricercatore indipendente Troy Hunt, il quale ha informato l’azienda.
I dati trafugati sono username, date di accesso e, per un terzo degli utente, le password criptate in SHA1. Per ora non sono stati registrati tentativi di accesso non autorizzati, rimane comunque il rischio relativo alle password che possono esser decriptate (certo non senza alcune difficoltà). L’azienda riporta che i dati più recenti trafugati sono comunque relativi il 2012.
We’ve taken action to protect the accounts that were included in the data snapshot. Right now, we don’t believe there is any threat to a user accounts. Since 2012, as part of normal security enhancements, we’ve made significant upgrades to our database and encryption in order to prevent breaches and increase password security. Specifically, at the end of 2012 we changed our password hashing algorithm from SHA1 to bcrypt.
Da fine 2012 in poi l’azienda ha migliorato la sicurezza dei propri database passando dall’ormai vecchio ed obsoleto SHA1 a Bcrypt; ad ogni modo Disqus contatterà tutti gli account a rischio per reimpostare la password; cosa da fare e consigliabile in particolare se si ha la (cattiva) abitudine di condividere la medesima password anche con altri servizi online.
Approfondimenti: Security Alert: User Info Breach
