Пароли хэшированные с протоколом SHA1 и соль юаней для примерно одной трети пострадавших пользователей также включены в снимок. Disqus было известно о нарушении и получил открытые данные на 5 октября Трой Хант, независимый исследователь безопасности. Сегодня служба связалась с пострадавшими пользователями, сбросила их пароли и публично раскрыла инцидент.
Джейсон Ян, кто-то из disqus, говорит, что у компании нет доказательств того, что несанкционированные логины происходят из-за скомпрометированных учетных данных. «Никаких простых текстовых паролей не было разоблачено, но это возможно для этих данных, которые будут расшифрованы (даже если маловероятно) «, сказал Ян.
«В качестве меры предосторожности мы сбросили пароли для всех пострадавших пользователей. Мы рекомендуем всем пользователям изменять пароли на других службах, если они являются общими. В настоящее время мы не считаем, что эти данные широко распространены или легко доступны. Мы также можем подтвердить, что самые последние данные, которые были выставлены с июля 2012 года «.
Поскольку электронные письма хранились в простом тексте, возможно, пострадавшие пользователи могут получать нежелательную электронную почту. Disqus не считает, что существует какая-либо угроза для учетных записей пользователей, поскольку она внесла улучшения на протяжении многих лет, чтобы значительно повысить безопасность паролей. Одним из таких улучшений было изменение алгоритма хэширования пароля с SHA1 на bcrypt.
Если ваша учетная запись пострадала от утечки данных, вы получите электронное письмо от Disqus с просьбой изменить пароль. Компания продолжает расследование нарушения и будет делиться новой информацией на своем блоге, когда она станет доступной.
Оригинал: wptavern.com