Le populaire outil de commentaires de blog, Disqus, a révélé qu’il a été piraté en 2012. Et, les pirates ont pu « mettre la main » sur les adresses mails des utilisateurs, les mots de passe et d’autres informations qui ont également fait l’objet d’une fuite.
La violation a été confirmée à la fin de la semaine dernière par Disqus elle-même, qui a été notifiée par Have I Pwned ? – un site qui vous indique si votre adresse e-mail a été compromise dans une violation de données. Have I Pwned ? a, selon la publication, obtenu une copie des informations du site, et notifié Disqus de celles-ci. Ici, dans cette importante violation de données, le site a reçu un instantané des 17,5 millions d’utilisateurs qui ont été exposés. Ce dernier incluait les adresses électroniques, les noms d’utilisateurs, les dates d’inscription et les dernières dates de connexion en clair.
L’information remonte à 2007. Les mots de passe d’environ un tiers des utilisateurs ont également été récupérés, mais ceux-ci n’étaient pas en texte clair, mais plutôt en SHA1 avec un grain de sel. Engadget pense qu’il est possible que les hackers ont pu déchiffrer les mots de passe.
Une réelle menace ?
Disqus précise qu’elle est toujours en train d’évaluer l’information, mais qu’il y a très peu de preuves d’une connexion non autorisée. Étant donné que les adresses e-mail ont été exposées, les utilisateurs peuvent s’attendre à des spams. « Par mesure de précaution, nous imposons la réinitialisation des mots de passe à tous les utilisateurs concernés. Nous contactons tous les utilisateurs dont les informations ont été incluses pour les informer de la situation« , explique la société.
À ce jour, la firme explique qu’il existe aucune menace pour un compte d’utilisateur. « Depuis 2012, dans le cadre des améliorations normales de la sécurité, nous avons procédé à des mises à jour importantes de notre base de données et de notre chiffrement afin de prévenir les violations et d’accroître la sécurité des mots de passe. Plus précisément, fin 2012, nous avons changé notre algorithme de hachage de mot de passe de SHA1 à bcrypt« .
Disqus a déclaré qu’elle continuera à enquêter sur le problème, et partagera tout ce qu’elle trouve dans de futures déclarations.