Súlyos támadás érte a kommentelő céget

​A Disqus immár hivatalosan is megerősítette, hogy még 2012-ben egy súlyos adatbiztonsági incidens érte a rendszereit, aminek következtében 17,5 millió felhasználó adata vált kiszolgáltatottá.
 

Egy újabb adatbiztonsági incidens híre borzolta a kedélyeket. Kiderült ugyanis, hogy az internetes kommentelésekhez szolgáltatásokat biztosító Disqus vállalatot súlyos támadás érte. Ráadásul a nemkívánatos eseményre 2012-ben derült fény, és azóta senkinek sem tűnt fel, hogy 17,5 millió felhasználói fiók adata kiszivárgott a cégtől. Csakhogy az elmúlt napokban az eltulajdonított adatok kezelésével foglalkozó Have I Been Pwned weboldal üzemeltetője, Troy Hunt egy olyan adatbázishoz jutott, amelyről kiderült, hogy a Disqus-tól származik.
 
Az adatbázisról Hunt 24 órán belül értesítette a Disqus illetékeseit, akik azonnali vizsgálatot rendeltek el. Ennek során bebizonyosodott, hogy az adatok valóban a vállalattól szivárogtak ki, de vélhetőleg sok nyom már nincs. Azt is csak onnan lehet tudni, hogy a támadás 2012-ben történt, hogy a Hunthoz eljutó adatbázisban lévő adatok a 2007-2012 között regisztrált fiókokra vonatkoznak.
 
A vizsgálatok rámutattak arra, hogy a lopott adatok között felhasználónevek, e-mail címek, valamint regisztrációs és utolsó belépésre vonatkozó dátuminformációk szerepelnek. Ezek mellett jelszó hash-ek (SHA1) is az adattolvajok kezébe kerültek. Érdekesség, hogy Hunt szerint a birtokába jutott adatbázisban szereplő e-mail címek 71 százalékáról elmondható, hogy azok egyéb incidensekben is áldozattá váltak. Azaz sok olyan felhasználói fiók és e-mail cím is van a tekintélyes méretű listán, amikhez tartozó adatokat már többször is sikerült meglovasítaniuk a feketekalapos hackereknek. Minden estre a Disqus az érintett fiókok esetében resetelte a jelszavakat, és értesítette a felhasználókat a történtekről.
 
A Disqus hangsúlyozta, hogy 2012 óta már számos védelmi intézkedést hozott, így a jelenlegi rendszere jóval ellenállóbb a támadásokkal szemben. Egyebek mellett változtatott a jelszókezelésen, erősebb hash eljárásokat alkalmaz, valamint számos adat esetében titkosítást is bevezetett.