Prowadzisz dyskusje w sieci? Sprawdź, czy Twoje konto Disqus nie zostało złamane.

 

Chip.pl podaje, że przestępcy ukradli ponad 17 milionów kont użytkowników Disqusa. Wyciekły adresy e-mail oraz zakodowane hasła. Administratorzy serwisu już poinformowali poszkodowanych użytkowników o konieczności zmiany haseł.

 

 

Kradzież miała miejsce w 2012 r, a informacja o tym fakcie dopiero teraz została ujawniona przez serwis Have I Been Pwned. Disqus szybko zareagował na wyciek i wymusił zmianę haseł u poszkodowanych użytkowników. Jednocześnie serwis zapewnił, że w logach nie wykryto nieupoważnionych logowań.

Hasła, które trafiły w niepowołane ręce, zakodowano przy użyciu przestarzałego już algorytmu SHA1. Na szczęście, przed użyciem funkcji mieszającej do haseł dodano dodatkowy ciąg znaków. tzw. „sól”. Dzięki temu przestępcy prawdopodobnie nie byli w stanie odtworzyć danych ani zalogować się w innych serwisach. Disqus umożliwia zainstalowanie na własnej stronie system komentarzy. Jest to bardzo wygodny system do prowadzenia dyskusji w sieci, gdzie w jednym serwisie, zawsze i szybko możemy znaleźć wszystkie wątki, w których się udzielaliśmy.
Obecnie Disqus korzysta ze zdecydowanie mocniejszego schematu przetwarzania haseł z użyciem BCrypta. Poza „solą”, algorytm ten używa tzw. „key stretchingu” czyli wielokrotnego kodowania danych. Co ważne, dane, które trafiły do sieci należały tylko do 10 proc. obecnych użytkowników serwisu.

Więcej informacji na chip.pl