شرکت Disqus اعلام کرد نفوذ سال ۲۰۱۲ میلادی، ۱۷ میلیون کاربر را تحت تاثیر قرار داده است

سرویس نظرسنجی Disqus روز جمعه از نفوذ به اطلاعات مشتریان خبر داد که ظاهرا در سال ۲۰۱۲ میلادی اتفاق افتاده و حدود ۱۷٫۵ میلیون حساب کاربری را تحت تاثیر قرار داده است. Disqus توسط تروی هانت، کارشناس امنیت استرالیا که سرویس اطلاع‌رسانی نفوذ Have I Been Pwned را ایجاد کرده از این نفوذ باخبر شد. هانت می‌گوید که این شرکت تنها کمتر از ۲۴ ساعت پس از مطلع شدن اقدام به محافظت از حساب‌های آسیب‌دیده و افشای عمومی نفوذ می‌کند.

 

به گفته Disqus، که خدمات آن برای ارسال ۵۰ میلیون نظر در هر ماه  استفاده می‌شود، اطلاعات ذخیره‌شده در پایگاه‌داده که هانت به‌دست‌‌ آورده بین سال‌های ۲۰۰۷ تا  ۲۰۱۲ میلادی بوده، که تقریبا در زمان رخ دادن نفوذ اتفاق افتاده است. داده‌های افشاء‌شده شامل نام کاربری، آدرس رایانامه، تاریخ ثبت‌نام، تاریخ آخرین ورود به سامانه و برای حدود یک سوم از ۱۷٫۵ میلیون حساب کاربری، مقدار گذرواژه‌ی درهم‌سازی‌شده با SHA-1 است. در حالی‌که Disqus گفته هیچ گذرواژه‌‌ی رمزنگاری‌شده‌ای افشاء نشده و بعید است که مقادیر درهم‌ساری شکسته شده باشند، هانت اظهار داشته که شکستن مقادیر درهم‌سازی SHA-1 سخت نیست.

 

در حالی‌که تحقیقات Disqus هنوز درحال انجام است، این شرکت می‌‌گوید هیچ شواهدی از ورود غیرمجاز به سامانه در پی این حادثه وجود ندارد. با این‌حال، کاربران آسیب‌دیده مطلع شده‌اند و گذرواژه‌ی آن‌ها بازنشانی شده است. این شرکت قبول ندارد که داده‌ها به‌طور گسترده توزیع شده باشند یا به‌راحتی قابل دسترس باشند. جیسون یان، یکی از بنیان‌گذاران Disqus گفت: «ما اقداماتی برای حفاظت از حساب‌هایی که جزو داده‌های افشاء شده بودند انجام‌‌داده‌ایم. در حال حاضر، معتقدیم که هیچ تهدیدی برای حساب‌های کاربری وجود ندارد. از سال  ۲۰۱۲ میلادی، به‌عنوان بخشی از پیشرفت‌های امنیتی، برای جلوگیری از نفوذ و افزایش امنیت گذرواژه، پایگاه داده و رمزنگاری را بسیار ارتقاء داده‌ایم. مخصوصا، در اواخر سال ۲۰۱۲ میلادی ما الگوریتم درهم‌سازی گذرواژه‌ها را از SHA-1 به bcrypt تغییر دادیم.»

 

داده‌های سرویس Have I Been Pwned نشان داد که ۷۱ درصد از ۱۷٫۵ میلیون حساب Disqus نیز در سایر نفوذهای اطلاعاتی آسیب دیده‌اند. علاوه ‌بر پایگاه‌داده Disqus، هانت در سال ۲۰۱۴ میلادی اطلاعات به سرقت رفته از سرویس Bitly (با ۹ میلیون حساب) و Kickstarter (با ۵٫۲ میلیون حساب) به دست آورده است. برخلاف حادثه Disqus، که به نظر نمی‌رسد در سال ۲۰۱۲ میلادی کشف شده باشد، نفوذ Bitly و Kickstarter در زمان حملات شناسایی شده و به کاربران اطلاع داده شده بود. Bitly و Kickstarter هر دو به کاربران اطلاع دادند که هیچ اطلاعات جدیدی وجود ندارد و هیچ اقدامی لازم نیست. 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید