image

Data 17,5 miljoen gebruikers reactieplatform Disqus gestolen

zaterdag 7 oktober 2017, 07:48 door Redactie, 7 reacties

Aanvallers hebben de gegevens van 17,5 miljoen gebruikers van het reactieplatform Discus gestolen, zo heeft het bedrijf zelf bekendgemaakt. Disqus is een reactieplatform dat aan websites kan worden toegevoegd. Gebruikers maken bij Disqus een account aan en kunnen zo op meerdere websites die van Disqus gebruik maken reageren.

In een verklaring stelt Disqus dat het op 5 oktober door onderzoeker Troy Hunt werd gewaarschuwd dat een aanvaller gegevens uit een gebruikersdatabase van 2012 heeft gestolen. Het gaat om informatie die tot 2007 teruggaat en 17,5 miljoen gebruikers betreft. De gestolen data bestaat uit e-mailadressen, gebruikersnamen, registratiedatum en laatste inlogdatum. Van ongeveer 6 miljoen gebruikers zijn de gesalte en met het sha-1-algoritme gehashte wachtwoorden gestolen.

Volgens Disqus kan de aanvaller de gestolen wachtwoordhashes kraken, maar is dit onwaarschijnlijk. Toch is van alle getroffen gebruikers het wachtwoord gereset en worden deze gebruikers over het incident ingelicht. Hoe de gegevens in de eerste plaats konden worden gestolen is onbekend. Het onderzoek naar de hack is nog gaande. Verder laat Disqus weten dat het eind 2012 gestopt is met het gebruik van het sha-1-algoritme en wachtwoorden nu met het veiligere bcrypt-algoritme hasht.

Reacties (7)
07-10-2017, 14:35 door Anoniem
ben ik blij dat ublock origin Discus altijd blokkeert
07-10-2017, 18:09 door ph-cofi
Ben ik blij dat ik voor alle sites aparte wachtwoorden gebruik.
Er zijn mensen die wachtwoorden achterhaald en onveilig vinden en alternatieven zoeken. Ik heb zo langzamerhand het idee dat een alternatief alleen maar gaat werken als het nooit één geheim/oplossing voor alle sites gaat worden.
07-10-2017, 18:38 door -karma4
Door ph-cofi: Ben ik blij dat ik voor alle sites aparte wachtwoorden gebruik.

En afzonderlijke e-mailadressen! (Met een eigen domein is dat eenvoudig en zo weet je altijd waar het vandaan komt als je ineens SPAM krijgt op zo'n adres).
08-10-2017, 13:01 door Anoniem
Met een eigen domein is dat eenvoudig en zo weet je altijd waar het vandaan komt als je ineens SPAM krijgt op zo'n adres.

en dan wat ga je daarna dan doen? ik bedoel, is het kalf dan al niet verdronken?
08-10-2017, 21:34 door Anoniem
Door Anoniem:
Met een eigen domein is dat eenvoudig en zo weet je altijd waar het vandaan komt als je ineens SPAM krijgt op zo'n adres.

en dan wat ga je daarna dan doen? ik bedoel, is het kalf dan al niet verdronken?

Die ervaring heb ik: ik ontving op een uniek e-mail adres gelinkt aan bestel-puntje-nl, een e-mail uit Roemenië, met in het duits een verzoek om de openstaande rekening te betalen. Daarop heb ik de moedermaatschappij gebeld met de vraag of ze e-mail adressen verkocht hadden. Uiteraard was het antwoord ontkennend, waarna ik hen op de hoogte bracht van mijn vermoeden dat ze gehackt waren. Ze zouden mijn detailinfo voorleggen aan hun programmeur (dat zei me al genoeg), waarna ik niets meer hoorde. Een tijdje later heb ik een update gevraagd, maar wederom niets gehoord, waarna ik melding heb gemaakt bij de Autoriteit Persoonsgegevens, incl details. Wat schetst mijn verbazing dat ik zowaar werd gebeld door de AP, met de vraag of ik na melding nog wat vernomen had. Op mijn vraag wat ze met de informatie gingen doen, kreeg ik als antwoord dat als ze meerdere meldingen over dezelfde partij krijgen ze actief worden; niet bij één melding. Maar ook het antwoord dat ze alle meldingen lezen.
10-10-2017, 12:21 door Anoniem
Er zijn mensen die wachtwoorden achterhaald en onveilig vinden en alternatieven zoeken. Ik heb zo langzamerhand het idee dat een alternatief alleen maar gaat werken als het nooit één geheim/oplossing voor alle sites gaat worden.

Simpele oplossing is Google Authenticator toevoegen voor 2FA. Doen onder meer de meeste bitcoin trading platforms momenteel.
25-11-2017, 21:18 door -karma4
Door Anoniem:
Met een eigen domein is dat eenvoudig en zo weet je altijd waar het vandaan komt als je ineens SPAM krijgt op zo'n adres.

en dan wat ga je daarna dan doen? ik bedoel, is het kalf dan al niet verdronken?

Melding bij autoriteit persoonsgegevens natuurlijk!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.