Disqus a découvert qu’elle avait subi une fuite d’informations en 2012. Les pirates ont pu accéder à la base d’utilisateurs du système de commentaires, qui comptait 17,5 millions de comptes. Les données concernées comprennent les noms d’utilisateur, les adresses électroniques et les hachages de mots de passe.
Troy Hunt, chercheur en sécurité et responsable de Have I Been Pwned, a découvert la fuite, qui montre si l’un de vos mots de passe a déjà fait l’objet d’une fuite sur Internet (probablement déjà). Il a informé Disqus du problème dans l’après-midi du 5 octobre ; le lendemain, la société a commencé à avertir les utilisateurs concernés par courrier électronique, en leur demandant de changer leurs mots de passe.
La société admet que la base de données ayant fait l’objet d’une fuite contenait des informations enregistrées entre 2007 et 2012, notamment des adresses électroniques, des noms d’utilisateur Disqus, des dates d’enregistrement et la dernière date de connexion en texte clair pour 17,5 millions d’utilisateurs. En outre, les hachages de mots de passe dans SHA1 d’un tiers des utilisateurs ont été obtenus ? Disqus a changé la technique de hachage à bcrypt à la fin de 2012.
Rien ne prouve que des connexions non autorisées ont été effectuées à cause de l’attaque, mais Disqus recommande à tous les utilisateurs de changer leur mot de passe ? même sur d’autres services, s’ils partagent la même combinaison (SHAME ON YOU !). En outre, comme les adresses électroniques étaient en texte clair, il est probable que les utilisateurs recevront davantage de spam.
