19

Wiemy, że korzystacie z Disqusa. Dlatego musicie wiedzieć o tym ataku na usługę

Disqus to naprawdę ciekawa platforma komentarzy w sieci. W czasach swojej ekspansji istotnie zmieniła to, w jaki sposób uczestniczymy w życiu internetowych społeczności i szturmem podbiła serca użytkowników na całym świecie. W ostatnim czasie zaobserwowano, że Disqus nie ma szczególnego pomysłu na siebie i wizji: "co dalej?". Mało tego, do tych problemów dołączają doniesienia o poważnym wycieku danych.

Wczoraj Disqus potwierdził, że w 2012 roku (tak, to żadna pomyłka) doszło do wycieku danych użytkowników. Naruszenie bezpieczeństwa platformy miało miejsce w lecie tego roku i jak wynika z wewnętrznego śledztwa przeprowadzonego przez usługodawcę, atakujący uzyskali dane 17.5 miliona użytkowników. Pierwsze informacje o tym, że Disqus mógł zostać zaatakowany pochodziły od innego eksperta, Troya Hunta, który znalazł się w posiadaniu danych należących do wspomnianego serwisu.

Troy Hunt po tym, jak uzyskał bazę danych o użytkownikach, skontaktował się z Disqusem celem potwierdzenia otrzymanych danych. Usługodawcy weryfikacja zajęła niemal dobę, ale udało się za to jednoznacznie potwierdzić prawdziwość przedstawionych informacji.

disqus

Jakie dane pozyskali cyberprzestępcy z platformy Disqus?

Jak się okazuje, hakerzy uzyskali dostęp do niezwykle ważnych informacji o użytkownikach. Między innymi w ich posiadaniu znalazły się adresy e-mail, pseudonimy, daty rejestracji oraz ostatnich logowań. Mało tego, w przypadku 1/3 rekordów znalazły się tam także hasła zaszyfrowane za pomocą SHA-1. O swoje informacje powinni się obawiać jedynie użytkownicy, którzy logowali się do usługi między 2007, a 2012 rokiem. Disqus jednak uspokaja i twierdzi, że w tym momencie nie można mówić o żadnych zagrożeń dla kont w jego platformie. Wprowadzono sporo usprawnień w kwestii bezpieczeństwa i szyfrowania danych użytkowników, które znacznie utrudniają działanie cyberprzestępców. Ponadto, na końcu roku 2012 Disqus przeniósł się z SHA1 do bcrypt, który uznawany jest za znacznie lepszy.

Czyli wygląda na to, że nie ma się czego bać?

Mimo tego, że zagrożenie rzeczywiście jest niewielkie, Disqus zresetował hasła dla wszystkich kont – nie zdziwcie się, jeżeli będziecie musieli ustawić nowe dane logowania. Warto wykorzystać w tym celu zupełnie inną kombinację znaków, które posłużą wam do uwierzytelniania się w usłudze. Jeżeli korzystaliście z tego samego hasła w innych usługach, tam również zmieńcie swoje dane. Natomiast, w przypadku gdy logujecie się do serwisu Disqus za pomocą innych serwisów społecznościowych (na przykład Facebooka), nie musicie się obawiać. Ten mechanizm został wdrożony nieco później i zwyczajnie nie ma mowy o tym, aby takie dane wykorzystano w ataku.

To nie pierwsza sytuacja tego typu. Dużo większą wpadkę zaliczyło Yahoo, które ostatnio musiało niekorzystnie dla siebie zweryfikować skutki ataku na swoje usługi. Tam skala zagrożenia jest znacznie większa…