Disqus : une fuite de données pour 17,5 millions d'internautes

Le par  |  4 commentaire(s)
fuite

Passé inaperçue pendant des années, une fuite de données ayant touché Disqus vient seulement de faire surface. Plus de 17,5 millions d'utilisateurs concernés pour le service de commentaires en ligne qui revendique 2 milliards d'utilisateurs.

Populaire système de gestion des commentaires en ligne dont le module équipe notamment des sites d'actualité (50 millions de commentaires par mois), Disqus publie une alerte de sécurité au sujet d'une fuite de données. L'incident n'est pas tout frais.

Alerté par le chercheur en sécurité Troy Hunt la semaine dernière, Disqus confirme que les données les plus récentes à avoir été compromises remontent à juillet 2012 (et jusqu'en 2007). Plus de 17,5 millions d'utilisateurs sont concernés par des données compromises portant sur des adresses email, noms d'utilisateurs, dates d'enregistrement et de dernière connexion.

Pour près d'un tiers des utilisateurs affectés, Disqus évoque des mots de passe. Tous les comptes n'ont pas de mots de passe dans la mesure où il est possible de s'appuyer sur un service tiers comme Facebook par exemple. Le cas échéant, ce ne sont pas des mots de passe en clair, mais des hashs avec la fonction (obsolète) SHA-1 et du salage. Cette opération de salage consiste à insérer des caractères aléatoires dans le mot de passe avant hachage pour offrir une protection supplémentaire contre les attaques de type dictionnaire.

Fin 2012, Disqus a abandonné la fonction de hachage SHA-1 au profit de bcrypt, ce qui est évidemment un très bon point. Par mesure de précaution, Disqus - qui présente ses excuses - a décidé de réinitialiser les mots de passe pour tous les utilisateurs affectés. Cela implique la recommandation habituelle pour ceux qui ont recours à un même mot de passe pour d'autres services (potentiellement plus sensibles). Il faudra en changer.

À ce stade, Disqus ne dit pas comment des individus ont pu dérober les données. Attention désormais aux potentielles attaques de phishing ciblé. La fuite de données pour Disqus est prise en compte dans le service Have I been pwned? de Troy Hunt. Une adresse email ou un nom d'utilisateur à saisir pour savoir si un compte a été compromis.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1983720
Heureusement, je suis identifié via un compte social et je n'étais pas encore inscrit en 2012...
Le #1983722
C'est bon, je suis toujours qu'à 12 leaks sur haveibeenpwned (entre autres : dailymotion, adobe, google, dropbox, tumblr...)
Le #1983777
SuperDindon3D a écrit :

C'est bon, je suis toujours qu'à 12 leaks sur haveibeenpwned (entre autres : dailymotion, adobe, google, dropbox, tumblr...)


Bah ça fait déjà mal xD
Le #1983830
no pwnage sur mes adresses... (chez netc.fr)
Suivre les commentaires
Poster un commentaire
Anonyme