هک شدن Disqus در سال 2012 موجب سرقت اطلاعات بیش از 17.5 میلیون کاربر شد

هم رسان: با حمله امنیتی گسترده به سیستم محبوب دیدگاه Disqus، اطلاعات بیش از 17.5 میلیون کاربر به سرقت رفت.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، این شرکت که یک افزونه دیدگاه وبی برای وب سایت‌ها و وبلاگ‌ها را فراهم می‌کند، اعلام کرد 5 سال پیش در تیرماه سال 2012 مورد حمله هکرها قرار گرفته و هکرها اطلاعات به سرقت رفته شامل نشانی ایمیل، نام‌های کاربری، تاریخ ثبت نام و تاریخ‌های آخرین ورود به سیستم بیش از 17.5 میلیون کاربر  است.
هکرها همچنین توانستند به پسورد تقریباً یک سوم از کاربران آلوده شده دسترسی پیدا کنند، که با استفاده از الگوریتم ضعیف هش SHA-1 تقویت شده بودند.
شرکت اعلام کرد اطلاعات به سرقت رفته کاربران به سال 2007 بر می‌گردد و جدیدترین اطلاعات نیز مربوط به سال 2012 است.
طبق گفته‌های Disqus، شرکت طی گزارش «تروی هانت» محقق امنیتی مستقل مبنی بر به دست آوردن یک کپی از اطلاعات سایت از این نفوذ امنیتی در چهارم مهر مطلع شده است.
Disqus طی 24 ساعت از ادامه سرقت اطلاعاتی جلوگیری می‌کند و با تماس با کاربران خود از آن‌ها می‌خواهد تا در اسرع وقت پسورد خود را تغییر دهند.
«جیسونیان» مدیر ارشد فناوری Disqus در یک پست می‌گوید: «هیچ پسورد متنی ساده‌ای لو نرفته اما ممکن است این اطلاعات رمزنگاری شده باشند که البته بعید به نظر می‌رسد. ما به عنوان یک اقدام امنیتی پسورد تمامی کاربران آلوده را مجدداً تنظیم می‌کنیم اما توصیه می‌کنیم تمامی کاربران پسوردهای مشترک خود را در سرویس‌های دیگر تغییر دهند.
از اواخر 2012، Disqus ارتقاءهای دیگری برای بهبود امنیت خود ارائه کرده و الگوریتم هش پسورد خود را به Bcrypt تغییر داده است. این الگوریتم رمزنگاری قوی‌تر دسترسی به رمز عبور واقعی کاربران را برای هکرها بسیار سخت می‌کند.

یان می‌گوید:« از سال 2012 به بعد به عنوان بخشی از اقدامات طبیعی برای بهبود امنیت خود ما پایگاه داده و رمزنگاری خود را به روزرسانی کرده‌ایم تا از نفوذها جلوگیری کرده و امنیت پسوردها را افزایش دهیم. به ویژه در اواخر سال 2012 الگوریتم هش پسورد را از SHA1 به bcrypt تغییر داده‌ایم.»
این شرکت علاوه بر تنظیم مجدد پسوردها، از کاربران خود خواست تا در صورت استفاده از پسوردهای مشترک در سرویس‌های دیگر حتماً پسورد خود را تغییر دهند.
به احتمال زیاد هکرها می‌توانند از این اطلاعات سرقت شده در کنار تکنیک‌های مهندسی اجتماعی برای کسب اطلاعات بیشتر در مورد قربانیان استفاده کنند. بنابراین به شما پیشنهاد می‌شود مراقب ایمیل‌های اسپم و فیشینگ حاوی پیوست‌هایی از فایل‌های مخرب باشید.
هنوز مشخص نشده است هکرها چگونه توانسته‌اند به اطلاعات Disqus دست پیدا کنند. شرکت مستقر در سانفرانسیسکو Disqus هنوز هم با جدیت در حال بررسی حادثه امنیتی خود است. در صورت کسب اطلاعات جدید حتماً در اختیار شما قرار خواهیم داد.
این یک نقص شرم آور دیگر است که اخیراً پس از افشای Equifax از نقض بالقوه 145.5 میلیون مشتری در ایالات متحده، افشای کمیسیون اوراق بهادار و بورس آمریکا (SEC) از یک حمله امنیتی و افشای اخیر یاهو مبنی بر این که نقض اطلاعات در سال 2013 تمامی 3 میلیارد کاربر آن را تحت تأثیر قرار داده است، از آن پرده برداشته شده است.