國外知名評論系統Disqus 2012年被黑，官方現在才發現用戶數據泄漏了

又一起數據泄漏事件曝光！

這次的受害者叫Disqus，專門為網站和博客提供評論功能（以插件形式），自數年前Web 2.0浪潮中創建後一直是該領域的領導者。

Disqus剛剛承認，自家系統於2012年7月被黑，攻擊者竊取了1750萬用戶的個人信息。

失竊數據包括1750萬用戶的郵箱、用戶名、註冊日期以及最後登錄日期。更重要的是，攻擊者還拿到了裡邊大約三分之一用戶的密碼數據，這些密碼使用SHA-1加鹽散列存儲，很大幾率可以破解。

泄漏的資料庫快照主要是從2012年起，最早能追溯到2007年。換句話說，最近註冊的用戶也可能受影響。

據Disqus官方公告稱，在10月5日晚間，獲悉泄漏消息的安全研究員Troy Hunt通知他們，這家公司才意識到自己的用戶數據被盜了。Disqus CTO Jason Yan表示：

泄漏數據里密碼是散列加密的，但它很可能被解密。為安全起見，我們重置了所有受影響用戶的密碼。如果有用戶在其它服務上使用相同密碼，建議也儘快修改。

有趣的是，2012年底Disqus進行安全升級，將密碼散列演算法由SHA1改為Bcrypt，官方強調這是一次正常的安全升級工作。相比SHA1，Bcrypt的加密強度要高很多，攻擊者即使竊取了密碼數據也不太可能破解。

考慮到Disqus沒牆之前在國內的用戶不少，如果大家有共用密碼習慣，請儘快把其它服務的密碼改掉。

黑客也可能會將泄漏數據和社會工程學技術結合，比如發一些Disqus或者其它主題的釣魚郵件，收郵件方面也需要注意，不要亂點郵件附件。

目前尚不清楚Disqus被盜數據是如何在地下市場流轉，官方安全人員正在調查，如有進展我們會更新相關細節。

本文翻譯自https://thehackernews.com/2017/10/disqus-comment-system-hacked.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7867.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：