Disqus Hacklendi

disqus

Disqus hacklendi: 17.5 milyondan fazla kullanıcının verileri çalındı.

Yine başka bir gün, başka bir veri ihlali…

Bu sefer popüler yorumlama sistemi olan Disqus veri ihlali yaşadı.

Bloglar için yorum eklentisi sunan Disqus, Temmuz 2012’de büyük bir veri ihlali yaşadığını ve bilgisayar korsanlarının 17.5 milyondan fazla kullanıcısının verilerini çaldığını itiraf etti.

Açıklamalara göre çalınan veriler arasında 17.5 milyon kullanıcıya ait e-posta adresleri, kullanıcı adları, kayıt tarihleri ve son giriş tarihleri düz metin halinde bulunuyor. Üstelik sadece bu kadar değil. Yine yapılan açıklamalara göre bilgisayar korsanları saldırıdan etkilenen kullanıcıların üçte birine ait parolaları SHA-1 algoritmasıyla hashlenmiş şekilde ele geçirdi.

Şirket saldırıdan etkilenen kullanıcıların 2007 yılına dayandığını ve Temmuz 2012’den beri veri ihlaline açık olduğunu belirtti.

Disqus’ın durumu fark etmesi bağımsız bir güvenlik araştırmacısı Troy Hunt sayesinde oldu. Troy Hunt Disqus’ın veri ihlali yaşadığını 5 Ekim akşamında fark etti ve hemen şirketi konu ile ilgili bilgilendirdi.

Şirket durumdan haberdar olduktan yaklaşık 24 saat sonra veri ihlali yaşadığını kamuya açıkladı ve saldırıdan etkilenen kullanıcılarla temasa geçerek, en kısa sürede şifrelerini sıfırlamalarını istedi.

Disqus’ın CTO’su Jason Yan yazdığı blog yazısında şunları söyledi:

Hiçbir kullanıcı parolası düz metin olarak ele geçirilmedi fakat şifrelenmiş parolalar çözülebilir. Bir güvenlik önlemi olarak saldırıdan etkilenen bütün kullanıcılarımızın şifrelerini sıfırladık.

Bilindiği kadarıyla Disqus 2012’de yaşadığı ihlalden sonra güvenlik önlemlerini büyük ölçüde arttırdı. Örneğin kullandığı zayıf parola şifreleme algoritmasını daha iyi olan Bcrypt ile değiştirdi.

Bilgisayar korsanlarının Disqus’ın verilerine nasıl eriştikleri hala bilinmiyor. Konu ile ilgili yasal süreç ve araştırma devam etmekte.