Data 17,5 miljoen gebruikers reactieplatform Disqus gestolen
Aanvallers hebben de gegevens van 17,5 miljoen gebruikers van het reactieplatform Discus gestolen, zo heeft het bedrijf zelf bekendgemaakt. Disqus is een reactieplatform dat aan websites kan worden toegevoegd. Gebruikers maken bij Disqus een account aan en kunnen zo op meerdere websites die van Disqus gebruik maken reageren.
In een verklaring stelt Disqus dat het op 5 oktober door onderzoeker Troy Hunt werd gewaarschuwd dat een aanvaller gegevens uit een gebruikersdatabase van 2012 heeft gestolen. Het gaat om informatie die tot 2007 teruggaat en 17,5 miljoen gebruikers betreft. De gestolen data bestaat uit e-mailadressen, gebruikersnamen, registratiedatum en laatste inlogdatum. Van ongeveer 6 miljoen gebruikers zijn de gesalte en met het sha-1-algoritme gehashte wachtwoorden gestolen.
Volgens Disqus kan de aanvaller de gestolen wachtwoordhashes kraken, maar is dit onwaarschijnlijk. Toch is van alle getroffen gebruikers het wachtwoord gereset en worden deze gebruikers over het incident ingelicht. Hoe de gegevens in de eerste plaats konden worden gestolen is onbekend. Het onderzoek naar de hack is nog gaande. Verder laat Disqus weten dat het eind 2012 gestopt is met het gebruik van het sha-1-algoritme en wachtwoorden nu met het veiligere bcrypt-algoritme hasht.
Er zijn mensen die wachtwoorden achterhaald en onveilig vinden en alternatieven zoeken. Ik heb zo langzamerhand het idee dat een alternatief alleen maar gaat werken als het nooit één geheim/oplossing voor alle sites gaat worden.
En afzonderlijke e-mailadressen! (Met een eigen domein is dat eenvoudig en zo weet je altijd waar het vandaan komt als je ineens SPAM krijgt op zo'n adres).
en dan wat ga je daarna dan doen? ik bedoel, is het kalf dan al niet verdronken?
en dan wat ga je daarna dan doen? ik bedoel, is het kalf dan al niet verdronken?
Die ervaring heb ik: ik ontving op een uniek e-mail adres gelinkt aan bestel-puntje-nl, een e-mail uit Roemenië, met in het duits een verzoek om de openstaande rekening te betalen. Daarop heb ik de moedermaatschappij gebeld met de vraag of ze e-mail adressen verkocht hadden. Uiteraard was het antwoord ontkennend, waarna ik hen op de hoogte bracht van mijn vermoeden dat ze gehackt waren. Ze zouden mijn detailinfo voorleggen aan hun programmeur (dat zei me al genoeg), waarna ik niets meer hoorde. Een tijdje later heb ik een update gevraagd, maar wederom niets gehoord, waarna ik melding heb gemaakt bij de Autoriteit Persoonsgegevens, incl details. Wat schetst mijn verbazing dat ik zowaar werd gebeld door de AP, met de vraag of ik na melding nog wat vernomen had. Op mijn vraag wat ze met de informatie gingen doen, kreeg ik als antwoord dat als ze meerdere meldingen over dezelfde partij krijgen ze actief worden; niet bij één melding. Maar ook het antwoord dat ze alle meldingen lezen.
Simpele oplossing is Google Authenticator toevoegen voor 2FA. Doen onder meer de meeste bitcoin trading platforms momenteel.
en dan wat ga je daarna dan doen? ik bedoel, is het kalf dan al niet verdronken?
Melding bij autoriteit persoonsgegevens natuurlijk!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
