Aanvallers hebben de gegevens van 17,5 miljoen gebruikers van het reactieplatform Discus gestolen, zo heeft het bedrijf zelf bekendgemaakt. Disqus is een reactieplatform dat aan websites kan worden toegevoegd. Gebruikers maken bij Disqus een account aan en kunnen zo op meerdere websites die van Disqus gebruik maken reageren.
In een verklaring stelt Disqus dat het op 5 oktober door onderzoeker Troy Hunt werd gewaarschuwd dat een aanvaller gegevens uit een gebruikersdatabase van 2012 heeft gestolen. Het gaat om informatie die tot 2007 teruggaat en 17,5 miljoen gebruikers betreft. De gestolen data bestaat uit e-mailadressen, gebruikersnamen, registratiedatum en laatste inlogdatum. Van ongeveer 6 miljoen gebruikers zijn de gesalte en met het sha-1-algoritme gehashte wachtwoorden gestolen.
Volgens Disqus kan de aanvaller de gestolen wachtwoordhashes kraken, maar is dit onwaarschijnlijk. Toch is van alle getroffen gebruikers het wachtwoord gereset en worden deze gebruikers over het incident ingelicht. Hoe de gegevens in de eerste plaats konden worden gestolen is onbekend. Het onderzoek naar de hack is nog gaande. Verder laat Disqus weten dat het eind 2012 gestopt is met het gebruik van het sha-1-algoritme en wachtwoorden nu met het veiligere bcrypt-algoritme hasht.
Deze posting is gelocked. Reageren is niet meer mogelijk.