回归最本质的信息安全

知名评论系统Disqus 2012年被黑,官方现在才发现用户数据泄漏了

2017年10月9日发布

35,543
0
5

导语:据Disqus官方公告称,在10月5日晚间,获悉泄漏消息的安全研究员Troy Hunt通知他们,这家公司才意识到自己的用户数据被盗了。

Disqus-comment-system-hacked.png

又一起数据泄漏事件曝光!

这次的受害者叫Disqus,专门为网站和博客提供评论功能(以插件形式),自数年前Web 2.0浪潮中创建后一直是该领域的领导者。

Disqus刚刚承认,自家系统于2012年7月被黑,攻击者窃取了1750万用户的个人信息。

失窃数据包括1750万用户的邮箱、用户名、注册日期以及最后登录日期。更重要的是,攻击者还拿到了里边大约三分之一用户的密码数据,这些密码使用SHA-1加盐散列存储,很大几率可以破解

泄漏的数据库快照主要是从2012年起,最早能追溯到2007年。换句话说,最近注册的用户也可能受影响。

据Disqus官方公告称,在10月5日晚间,获悉泄漏消息的安全研究员Troy Hunt通知他们,这家公司才意识到自己的用户数据被盗了。Disqus CTO Jason Yan表示:

泄漏数据里密码是散列加密的,但它很可能被解密。为安全起见,我们重置了所有受影响用户的密码。如果有用户在其它服务上使用相同密码,建议也尽快修改。

有趣的是,2012年底Disqus进行安全升级,将密码散列算法由SHA1改为Bcrypt,官方强调这是一次正常的安全升级工作。相比SHA1,Bcrypt的加密强度要高很多,攻击者即使窃取了密码数据也不太可能破解。

考虑到Disqus没墙之前在国内的用户不少,如果大家有共用密码习惯,请尽快把其它服务的密码改掉。

黑客也可能会将泄漏数据和社会工程学技术结合,比如发一些Disqus或者其它主题的钓鱼邮件,收邮件方面也需要注意,不要乱点邮件附件。

目前尚不清楚Disqus被盗数据是如何在地下市场流转,官方安全人员正在调查,如有进展我们会更新相关细节。

本文翻译自https://thehackernews.com/2017/10/disqus-comment-system-hacked.html,如若转载,请注明原文地址: http://www.4hou.com/info/news/7867.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

星辰

星辰

这个人很懒,什么也没留下

发私信

发表评论