W ostatnim czasie w sieci pojawia się coraz więcej informacji na temat wycieków danych z różnych firm i usług. W zeszłym tygodniu pisałem o jednym z największych wycieków w historii – 3 miliardów kont Yahoo, firmy, która jest najbardziej kojarzona jako dostawca poczty elektronicznej. Jak się okazuje, kolejny przypadek dotyczy firmy Disqus, która dostarcza system komentarzy na wszelkiej maści blogach.
Atak nie jest świeży. Zajście miało miejsce ponad 5 lat temu[1], w lipcu 2012 roku. Co prawda skala ataku jest dużo mniejsza niż w przypadku Yahoo i dotyczy 17,5 miliona użytkowników, ale to wciąż ogromne wartości. W skład skradzionych informacji wchodzą nazwy kont, adresy e-mail, data dołączenia i ostatniego logowania. Wśród danych znalazły się także hasła (około 1/3 kont), które były zabezpieczone algorytmem SHA-1. Niestety nie jest on obecnie uważany za odpowiednio mocny. Na szczęście dla użytkowników, od 2012 roku Disqus zamienił SHA-1 na Bcrypt, który jest znacznie silniejszym algorytmem kryptograficznym.
Dlaczego użytkownicy dowiadują się o tym tak późno? Niestety sam Disqus nie był do końca świadomy wycieku. Kilka dni temu jeden z badaczy, Troy Hunt poinformował firmę, że prawdopodobnie znalazł się w posiadaniu danych. Wewnętrzny audyt potwierdził przypuszczenia, a Disqus natychmiast wdrożył procedury bezpieczeństwa, informując użytkowników o wycieku.
Firma poinformowała, że problem dotyczy użytkowników, którzy logowali się między 2007, a 2012 rokiem. Ze względów bezpieczeństwa, Disqus wymusił zmianę hasła do wszystkich kont, których dotyczył wyciek. Jednak jak zawsze w takich przypadkach, najlepiej zmienić swoje hasło nawet jeżeli nasze konto nie ucierpiało w wyniku ataku. Ze względu na fakt, że wielu użytkowników stosuje te same hasła dla różnych usług, przypominam o tym, że istotne jest używanie unikatowego hasła dla każdej usługi. W ten sposób nawet jeżeli nasze dane wyciekną z jednego serwisu, pozostałe są bezpieczne.
[1] https://thehackernews.com/2017/10/disqus-comment-system-hacked.html