Illustrasjonsbilde.
Illustrasjonsbilde. (Bilde: Colourbox)

Disqus

Disqus bekrefter sikkerhetsbrudd. Ble hacket for fem år siden

Hele brukerdatabasen fra 2012 lekket.

Disqus røpet før helgen at de ble rammet av et sikkerhetsbrudd i juli 2012. Hele selskapets brukerdatabase den gangen, over 17,5 millioner kontoer, er berørt.

Brukernavn og epostadresser, samt tidspunkt for siste innlogging, alt sammen i klartekst, er på avveie. Passordene til rundt en tredjedel av kontoene er også berørt.

SHA-1

Anslagsvis 6 millioner passord var lagret med salt og den utdaterte hash-algoritmen SHA-1, som regnes som usikker. Det betyr at det er en fare for at de lekkede passordene kan knekkes.

Disqus beklager hendelsen overfor brukerne i en kunngjøring fredag. De oppgir samtidig at det ikke er funnet tegn til uautoriserte innlogginger knyttet til datalekkasjen. De har likevel resatt passordene for sikkerhets skyld.

Resten av kontoene hadde ingen passord i den stjålne databasen. Det er fordi en hovedvekt av brukerne er registrert med innlogging via tredjeparttjenester som Facebook eller Google.

For øvrig opplyser selskapet at de gikk over fra SHA-1 til den langt sikrere hash-algoritmen bcrypt mot slutten av 2012.

Takker sikkerhetsekspert

Disqus er en amerikansk webbasert diskusjonsløsning som blant annet brukes som kommentarsystem av en lang rekke blogger, nettsteder og nettaviser.

Selskapet benytter anledningen til å rette en takk til den australske sikkerhetseksperten Troy Hunt. Det var han som meldte ifra om lekkasjen forrige uke.

Disqus-lekkasjen er tatt inn hans nettjeneste Have I Been Pwned, der man kan sjekke om egen epostadresse er blant en mengde datalekkasjer fra tidligere kjente sikkerhetsbrudd.

Kommentarer (4)

Kommentarer (4)
Til toppen