Logindata van miljoenen gebruikers gestolen bij Disqus
Online service Disqus heeft bekend gemaakt dat het slachtoffer was van een inbreuk waarbij data van 17,5 miljoen gebruikers werd gestolen. Het gaat om een diefstal van gegevens uit 2012 die teruggaan tot 2007. Wat er precies is gebeurt, onderzoekt het bedrijf nog altijd. Getroffen gebruikers zouden ondertussen een e-mail moeten hebben ontvangen om hun wachtwoord te resetten.
E-mails en wachtwoorden
Disqus is een populaire online tool die het plaatsen van commentaar onder nieuwsartikelen, blogs en fora regelt. Ook deze website maakt gebruik van de service.
Op donderdag 5 oktober werd Disqus gewaarschuwd door veiligheidsonderzoeker Troy Hunt dat een deel van zijn data op de straatstenen lag. Hunt is de beheerder van de website Have I been pwnd, een platform waarop mogelijks gehackte gebruikers kunnen controleren of hun data gestolen is.
Het gaat om gegevens van gebruikers uit 2012. Wanneer de hack of het lek gebeurde, is niet duidelijk. “We weten dat er een snapshot van onze databank van 2012, die informatie bevatte die terugging tot 2007, blootgesteld is,” verklaart Jason Yan, Chief technology Officer bij Disqus. Het bedrijf beklemtoont dat het tot nu toe geen bewijzen heeft gevonden van ongeautoriseerde logins. De gestolen kopie van de databank bevatte de e-mailadressen, de registratiedata en informatie over waneer ze laatst inlogden van 17,5 miljoen gebruikers in plain text. Bij één derde van die accounts stonden ook wachtwoorden vermeld. Die waren versleuteld met SHA1-encryptie, een techniek die ondertussen achterhaald en makkelijk te kraken is.
[related_article id=”219104″]“Geen gevaar”
Als voorzorgsmaatregel heeft Disqus de wachtwoorden van alle getroffen gebruikers gereset. Hij bedrijf stelt dat het hen via e-mail op de hoogte heeft gebracht van het incident. Volgens Jason Yan is er geen directe dreiging: “Momenteel geloven we niet dat er enig gevaar loert voor een gebruikersaccount.” Disqus wijst er ook op dat het zijn beveiligingsmethodes sinds 2012 heeft opgevoerd; encryptie gebeurt tegenwoordig met het geavanceerde bcrypt.
Disqus sluit zich aan bij een steeds grotere groep van gehackte online services en netwerken. Afgelopen week nog onthulde Yahoo dat er bij het bedrijf 3 miljard accounts gecompromitteerd werden in 2013. Ook LinkedIn, Tumblr, Twitter en MySpace behoren tot de lijst. Dat maakt het niet verrassend dat 71 procent van de gestolen e-mailadressen van Disqus al in de Have I been pwnd-databank zaten.
Online service Disqus heeft bekend gemaakt dat het slachtoffer was van een inbreuk waarbij data van 17,5 miljoen gebruikers werd gestolen. Het gaat om een diefstal van gegevens uit 2012 die teruggaan tot 2007. Wat er precies is gebeurt, onderzoekt het bedrijf nog altijd. Getroffen gebruikers zouden ondertussen een e-mail moeten hebben ontvangen om hun wachtwoord te resetten.
E-mails en wachtwoorden
Disqus is een populaire online tool die het plaatsen van commentaar onder nieuwsartikelen, blogs en fora regelt. Ook deze website maakt gebruik van de service.
Op donderdag 5 oktober werd Disqus gewaarschuwd door veiligheidsonderzoeker Troy Hunt dat een deel van zijn data op de straatstenen lag. Hunt is de beheerder van de website Have I been pwnd, een platform waarop mogelijks gehackte gebruikers kunnen controleren of hun data gestolen is.
Het gaat om gegevens van gebruikers uit 2012. Wanneer de hack of het lek gebeurde, is niet duidelijk. “We weten dat er een snapshot van onze databank van 2012, die informatie bevatte die terugging tot 2007, blootgesteld is,” verklaart Jason Yan, Chief technology Officer bij Disqus. Het bedrijf beklemtoont dat het tot nu toe geen bewijzen heeft gevonden van ongeautoriseerde logins. De gestolen kopie van de databank bevatte de e-mailadressen, de registratiedata en informatie over waneer ze laatst inlogden van 17,5 miljoen gebruikers in plain text. Bij één derde van die accounts stonden ook wachtwoorden vermeld. Die waren versleuteld met SHA1-encryptie, een techniek die ondertussen achterhaald en makkelijk te kraken is.
[related_article id=”219104″]“Geen gevaar”
Als voorzorgsmaatregel heeft Disqus de wachtwoorden van alle getroffen gebruikers gereset. Hij bedrijf stelt dat het hen via e-mail op de hoogte heeft gebracht van het incident. Volgens Jason Yan is er geen directe dreiging: “Momenteel geloven we niet dat er enig gevaar loert voor een gebruikersaccount.” Disqus wijst er ook op dat het zijn beveiligingsmethodes sinds 2012 heeft opgevoerd; encryptie gebeurt tegenwoordig met het geavanceerde bcrypt.
Disqus sluit zich aan bij een steeds grotere groep van gehackte online services en netwerken. Afgelopen week nog onthulde Yahoo dat er bij het bedrijf 3 miljard accounts gecompromitteerd werden in 2013. Ook LinkedIn, Tumblr, Twitter en MySpace behoren tot de lijst. Dat maakt het niet verrassend dat 71 procent van de gestolen e-mailadressen van Disqus al in de Have I been pwnd-databank zaten.