Disqus es un popular sistema de comentarios para sitios web
Otro día, otro robo de datos.
Esta vez ha sido víctima de una enorme vulnerabilidad de seguridad el popular sistema de comentarios.
Disqus, la compañía que ofrece un plugin de comentarios basado en web para sitios web y blogs, ha admitido que fue hackeada hace 5 años en julio de 2012 y los hackers robaron detalles de más de 17,5 millones de usuarios.
Los datos robados incluyen direcciones de correo electrónico, nombres de usuario, fechas de inscripción y fechas de inicio de sesión en texto sin formato para todos los 17,5 millones de usuarios.
¿Qué más? Los hackers también tienen en sus manos en las contraseñas de alrededor de un tercio de los usuarios afectados, que fueron obtenidas y hackeadas utilizando el débil algoritmo SHA-1.
La compañía dijo que la información de usuario expuesta se remonta a 2007 con la exposición más reciente de julio de 2012.
Según Disqus, la compañía se enteró de la vulnerabilidad el jueves (5 de octubre) por la tarde después de que Troy Hunt, un investigador independiente de seguridad, que obtuvo una copia de la información del sitio, notificó a la compañía.
En aproximadamente 24 horas, Disqus reveló la vulnerabilidad en los datos y comenzó a ponerse en contacto con sus usuarios afectados, forzándolos a restablecer sus contraseñas lo antes posible.
"No se han expuesto las contraseñas de texto sin formato, pero es posible descifrar estos datos (aunque sea improbable). Como precaución de seguridad, hemos restablecido las contraseñas para todos los usuarios afectados. Recomendamos que todos los usuarios cambien las contraseñas de otros servicios si son compartidos", dijo en una entrada en el blog Jason Yan, director de tecnología de Disqus.
Sin embargo, desde finales de 2012 Disqus ha hecho otras mejoras para mejorar su seguridad y cambió su algoritmo de hashing de contraseña a Bcrypt - un algoritmo criptográfico mucho más fuerte que hace difícil para los hackers obtener la contraseña real del usuario.
"Desde el 2012, como parte de las mejoras de seguridad normales, hemos realizado actualizaciones significativas de nuestra base de datos y encriptación para prevenir los ataques y aumentar la seguridad de la contraseña", dijo Yan. "Específicamente, a finales de 2012, cambiamos nuestro algoritmo de hash de contraseña de SHA1 a bcrypt".
Además de restablecer la contraseña, también se recomienda cambiar las contraseñas en otros servicios y plataformas en línea, si comparten las mismas credenciales.
Es muy probable que los hackers puedan usar esta información robada en tándem con técnicas de ingeniería social para obtener más información sobre las víctimas. Por lo tanto, se aconseja tener cuidado con los correos electrónicos de correo basura y phishing que transportan archivos adjuntos maliciosos.
Todavía no está claro cómo los hackers obtienen datos prácticos de Disqus. Disqus, con sede en San Francisco, sigue investigando activamente este incidente de seguridad.
