Disqus, la société qui fournit un plugin de pour gérer les commentaires sur le Web pour les sites Web et les blogs, a admis qu'elle a été piratée il y a 5 ans maintenant, en Juillet 2012, et que les hackers ont volé des détails personnels de plus de 17,5 millions d’utilisateurs.
Les données volées comprennent les adresses e-mail, les noms des utilisateurs, les dates d'inscription et les dernières dates de connexion en texte brut pour tous les 17,5 millions d’utilisateurs.
Quoi de plus ? Les pirates ont également fait main basse sur les mots de passe pour environ un tiers des utilisateurs affectés.
La société a déclaré que les informations des utilisateurs piratés remonte à 2007, avec le plus récent piratage à partir de Juillet 2012.
Security Alert: See our blog for details https://t.co/k2kaej8fiN— Disqus (@disqus) 6 octobre 2017
Selon Disqus, l’entreprise a pris connaissance de la brèche que ce Jeudi 5 Octobre 2017 après qu'un chercheur indépendant en sécurité, Troy Hunt, a obtenu une copie des informations du site et a avisé Disqus. Sinon, eux-mêmes n’en savaient toujours rien. Et qui dit que ça ne s'est pas reproduit depuis 2012 ?
En moins de 24 heures, Disqus a divulgué le vol de données et a commencé à contacter ses utilisateurs concernés, les forçant à réinitialiser leurs mots de passe dès que possible :
Aucun mot de passe en texte brut n'a été exposé, mais il est possible que ces données aient été décryptées (même si improbable).
Comme précaution de sécurité, nous avons réinitialisé les mots de passe pour tous les utilisateurs concernés.
Nous recommandons que tous les utilisateurs changent les mots de passe sur d'autres services si elles sont partagées avec "Disqus" (par exemple Twitter ou WordPress).
Cependant, depuis la fin 2012, Disqus a fait d'autres mises à niveau pour améliorer sa sécurité et a remplacé son algorithme de hachage de mot de passe SHA1 par Bcrypt, un algorithme cryptographique beaucoup plus fort qui rend difficile pour les pirates d'obtenir le mot de passe réel de l'utilisateur.
Donc, Disqus a été piraté. Mais, ce piratage a eu lieu en Juillet 2012. Si vous avez rejoint Disqus après Juillet 2012, vous n'avez rien à craindre. Même si vous utilisez les mêmes informations d'identification de connexion depuis plus de 5 ans, les pirates n'ont obtenu que des mots de passe hachés.
En d'autres termes, ils n'ont probablement pas déchiffré votre mot de passe.
Toutefois, même s'il est peu probable que votre mot de passe a été exposé, Disqus est en train de forcer la réinitialisation des mots de passe pour tous les utilisateurs touchés. Même si vous vous êtes inscrits après le hack, cela ne vous empêche pas pour autant de changer votre mot de passe, ainsi que ceux des services associés à votre compte Disqus.
Le plus inquiétant, c’est que Disqus n'a même pas découvert le vol massif de lui-même. Disqus n’a été que récemment alerté du vol des données de ses utilisateurs par un chercheur en sécurité tiers qui a trouvé la base de données en vente libre sur le Dark Web.
