Đây là điều do chính Disqus xác nhận trong vụ bị tiết lộ thông tin năm 2012 khiến 17,5 triệu thông tin người dùng lọ vào tay hacker.
Hồi thứ Sáu, Disqus đã xác nhận một lường dữ liệu đã bị rò rỉ vào mùa hè năm 2012, trong đó kẻ tấn công chưa xác định lai lịch đã lấy đi ít nhất 17,5 triệu thông tin tài khoản người dùng.
Công ty phát hiện ra điều này nhờ nhà nghiên cứu bảo mật Troy Hunt, người hiện đang sở hữu một bản sao của dữ liệu bị đánh cắp và đã thông báo Disqus chiều hôm qua. Theo đoạn tweet của Hunt, anh mất 23 giờ và 42 phút để điều tra dữ liệu và xác nhận sự cố của Disqus.
Disqus, công ty chuyên về hệ thống cung cấp và lưu trữ các lời bình luận, đã thông báo cho người dùng có trong dữ liệu được cung cấp từ Hunt. Dữ liệu bị lấy cắp bao gồm địa chỉ email, username trên Disqus, ngày đăng ký và lần cuối đăng nhập, tất cả ở dạng văn bản thuần. Mật khẩu đã được băm bằng mã hoá SHA-1 chỉ tìm thấy trong khoảng 1/3 trong số 17.500.000 tài khoản bị tiết lộ.
Disqus cho biết những dữ liệu cuối cho thấy nó dừng ở tháng 7/2012, hacker có thể đã lấy thông tin người dùng đã đăng ký vào Disqus từ giữa 2007 (thời gian sáng lập công ty) cho đến thời điểm 2012.
“Hiện chúng tôi không tin có bất kỳ mối đe dọa cho tài khoản người dùng,” Disqus cho biết trong cảnh báo. “Kể từ năm 2012, như một phần của cải tiến bảo mật thông thường, chúng tôi đã nâng cấp đáng kể cơ sở dữ liệu và mã hóa để ngăn chặn vi phạm và tăng cường bảo mật mật khẩu.”
Công ty cho biết từ cuối 2012 họ đã chuyển đổi thuật toán băm mật khẩu từ SHA-1 sang bcrypt. Thực tế hàm băm SHA-1 đã bảo vệ được hầu hết tài khoản bị lấy cắm, công ty cho biết họ không thấy bằng chứng nào về việc đăng nhập không được phép liên quan đến vụ xâm nhập này.
Để bảo đảm an toàn, công ty đã reset toàn bộ mật khẩu cho người dùng và cho biết đang điều tra sự cố đã xảy ra cách đây 5 năm này.
Dịch từ: BleepingComputer