Популярный сервис Disqus был основан в 2007 году и предоставляет возможность импорта интернет-обсуждений и комментариев на сайт пользователя. Сервис применяет собственную социальную сеть, что упрощает комментирование на всех сайтах, его использующих.
В конце прошлой недели официальные представители Disqus были вынуждены признать факт утечки данных, при этом пояснив, что взлом произошел еще в 2012 году.
Изначально об инциденте стало известно благодаря усилиям известного исследователя Троя Ханта (Troy Hunt), автора портала Haveibeenpwned. Неизвестные предоставили специалисту копию украденных у сервиса данных. Убедившись в том, что информация подлинная, Хант поспешил связаться с представителями Disqus. Согласно одному из твитов специалиста, представителям сервиса понадобилось чуть меньше суток, чтобы отреагировать на случившееся.
23 hours and 42 minutes from initial private disclosure to @disqus to public notification and impacted accounts proactively protected pic.twitter.com/lctQEjHhiH
— Troy Hunt (@troyhunt) October 6, 2017
Официальное заявление Disqus не содержит подробностей о самом взломе, но гласит, что неизвестные злоумышленники сумели похитить информацию 17,5 млн пользователей, включая их email-адреса, имена пользователей, логи, содержащие даты входа, а данные примерно трети пострадавших содержат еще и хеши паролей (SHA-1). Наиболее свежие данные в дампе датированы июлем 2012 года, что позволило установить время утечки.
Хотя представители сервиса полагают, что сейчас пользователям уже не грозит опасность (все же с момента взлома прошло пять лет, и все плохое, что могло произойти, уже должно было произойти), компания начала процедуру сброса паролей для пострадавших учетных записей. При этом разработчики заверили, что за пять лет многое изменилось, и сегодня сервис использует более надежные практики безопасности, в частности SHA1 сменил более надежный bcrypt.