▌作者:Catalin Cimpanu
▌翻译:360代码卫士团队
上周,评论系统托管提供商Disqus证实称2012年夏公司遭受攻击,未具名攻击者至少盗取了1750万用户账户详情。
Disqus是通过安全研究员TroyHunt发现这起数据泄露事件的。Hunt通过拷贝的被盗数据告知Disqus。从Hunt发布的一条推特信息来看,Disqus用了23小时42分钟对数据展开调查并予以确认。
数据泄露发生在2012年
Disqus已开始通知Hunt所提供数据中涉及到的用户。公司表示,黑客窃取了明文形式的用户邮件地址、Disqus用户名、注册日期和最后一次登录日期。其中三分之一的被盗详情中包含SHA-1哈希密码。
Disqus表示被暴露数据的最后记录时间是2012年7月,表明这起事件至少发生在这个时间点。也就是说受影响用户的注册时间是在该公司成立之时的2007年至2012年7月之间。
已重置密码
Disqus在一份安全警告中指出,“目前我们认为用户账户并未受到威胁。因为自从2012年起,作为正常安全增强措施的一部分,我们就大幅升级了数据库和加密算法以阻止数据泄露事件并加强密码安全。”
Disqus还表示,在2012年年底,将密码哈希算法从SHA1转换为bcrypt。该公司表示未发现跟此次泄露事件相关的未经授权登录的证据。不过,即使这次泄露事件的危险系数较低,该公司还是为所有受影响用户重置了密码,并表示仍在继续开展调查。调查详情可能会在几周内披露。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
