Diskusiám Disqus použitým na mnohých weboch unikli dáta o užívateľoch

Značky: bezpečnosťweb

DSL.sk, 9.10.2017

Službe Disqus, ktorá poskytuje webom možnosť namiesto implementácie vlastných diskusií použiť diskusie od tejto služby, unikli dáta o miliónov koncových užívateľov.

Disqus je pritom použitá aj na viacerých slovenských weboch.

Služba na únik upozorňuje v tomto oznámení. Dozvedela sa o ňom, keď ju na existenciu takejto uniknutej databázy upozornil známy bezpečnostný expert Troy Hunt.

V databáze sú informácie o 17.5 miliónoch užívateľov od vzniku služby v 2007 do júla 2012. Databáza tak pochádza zrejme z tohto času.

V uniknutých informáciách majú byť emailová adresa užívateľa, jeho užívateľské meno v Disqus, dátum registrácie a dátum posledného prihlásenia zrejme do júla 2012. Pre približne tretinu užívateľov je v dátach aj hash hesla, vytvorená SHA-1 s tzv. saltovaním. Neskôr, na konci roku 2012, prešla služba namiesto SHA-1 na bcrypt.

Podľa oznámenia dáta zatiaľ neboli široko distribuované a služba podľa svojho tvrdenia nezaznamenala zneužitie prístupov na účty súvisiace s týmito uniknutými dátami. Preventívne všetkým účtom, pre ktoré sa v úniku nachádzali hashe hesiel, heslá resetla.

Ako každá iná metóda hashovania umožňuje použitá metóda útočníkom samozrejme individuálne hľadať heslá užívateľov a ľahké časté heslá umožňuje nájsť pomerne efektívne. Vďaka saltovaniu to ale nie je možné efektívne naraz hromadne.

Ak útočníci heslo užívateľa získajú, rizikom by bol nielen prístup na účet služby Disqus ale prípadné prístupy na iné služby, kde má užívateľ použité rovnaké heslo. Ak tak používatelia mali vytvorený účet na Disqus do roku 2012 a rovnaké heslo použili aj inde, odporúčané je im zmeniť si heslo aj na týchto iných službách.

Keďže služba sa o úniku dozvedela na základe dostupnosti tejto databázy, zatiaľ nie je jasné či už identifikovala spôsob úniku. A teda ani či vie potvrdiť, že viac dát ako je v tomto úniku zo služby neuniklo.




Najnovšie články:



Diskusia:

bezpecnost Od reg.: Zapredaný | Pridané: 9.10.2017 13:00 1000 iteracii SHA512 + heslo cez hexdump + salt a som zvedavy ako dlho by im to trvalo. A ESTE!!! by som tie hesla v DB zasifroval verejnym PGP klucom a aplikacia by ich desifrovala sukromnym klucom ktory by bol ulozeny v HSM module! Odpovedať Známka: -6.8 Hodnotiť:

Re: bezpecnost Od: debil_ | Pridané: 9.10.2017 13:52 ak by si solil hashom odtlacku svojho ftaka, tak by to desifrovala tvoja milenka Odpovedať Známka: 6.8 Hodnotiť:

Re: bezpecnost Od: prekladatel | Pridané: 9.10.2017 14:00 nesol hashom odtlacku andulky, inak by to mohla desifrovat upratovacka Odpovedať Známka: 7.1 Hodnotiť:

Re: bezpecnost Od: rozbiť eu | Pridané: 9.10.2017 21:14 Trolovia budú spaľovať. Odpovedať Hodnotiť:

Kapitáň Dankó Od: _kubo_ | Pridané: 9.10.2017 21:56 ...unikli dáta o miliónov koncových užívateľov. Odpovedať Hodnotiť:

Re: Kapitáň Dankó Od: raz boľševikov stále blbec | Pridané: 10.10.2017 4:05 Hmmm.... 10 000 zabudnutých identít zrazu ožije. Odpovedať Hodnotiť:

Re: Kapitáň Dankó Od: _kubo_ | Pridané: 11.10.2017 21:48 Milý Pa3k. Už ma naučili, že správne je "do tankov", ale zároveň aj "o miliónoch". Skús sa to naučiť aj Ty! Tvoj Kapitáň. Odpovedať Hodnotiť:

Re: bezpecnost Od: grr. | Pridané: 9.10.2017 16:02 A preto žiadny profesionálny ITčkár nemá milenku. Odpovedať Známka: 6.4 Hodnotiť:

Re: bezpecnost Od: syntaxterrorX XX | Pridané: 9.10.2017 16:21 ... ku ktorej sa neda pripojit myska. Odpovedať Známka: 5.7 Hodnotiť:

Re: bezpecnost Od: debil_ | Pridané: 9.10.2017 17:55 mozes tak pripojit externy tablet, trackpoint, trackpad ci rovno stareho serioveho siveho patkana, s kazdym zacnes zvlast tukat a vyberat prediktivne slova, toto vygooglis ako sifrovaci hash. das dalsiu rekurziu, gegel ti prelozi opat slova, z hashu a saltu dostane prisady ku tequile a budes za SPITAKA! Odpovedať Známka: 2.0 Hodnotiť:

Re: bezpecnost Od: NAJLEPSIA SIFRA | Pridané: 9.10.2017 16:04 KAMO ty si sa prepol uz neviem kam... skus si veci pamatat svojim mozgom a ziadne shaprdcicoviny ti nebudu treba.... Odpovedať Hodnotiť:

Re: bezpecnost Od: zxcvbn | Pridané: 9.10.2017 17:22 Pri kazdom zadavani hesla do weboveho formulara treba este nasadit ciapku z alobalu, inak moze byt heslo telepaticky vysielane do priestoru a ProfesorX by ho vedel odpocut. Implementacia "address space layout randomization" vo vlastnom mozgu je samozrejmostou. Odpovedať Známka: 4.5 Hodnotiť:

Re: bezpecnost Od: debil_ | Pridané: 9.10.2017 18:06 ked nevies co je mozgovy ASLR tak chod dopice.sk/kkn Odpovedať Hodnotiť:

disqusting Od: asdfa | Pridané: 9.10.2017 13:00 najhorsi diskusny system aky som kedy videl... sa cudujem ze to vobec pouzivaju, pomale, vyzaduje registraciu (naco preboha?) atd.. Odpovedať Známka: 4.6 Hodnotiť:

Re: disqusting Od: gertrudo | Pridané: 9.10.2017 13:08 Lebo su lenivy. Proste vlozis modul a hotovo. Tipujem tiez ze je zadarmo, mozno dokonca plati za pouzivanie. Odpovedať Známka: 4.4 Hodnotiť:

Re: disqusting Od: vrtak_das_osmicka | Pridané: 9.10.2017 13:11 A co je este horsie. Rozsiruje sa to jak mor. Zbiera info a predava ho tretej strane aj bez pristupu do diskusie. Odpovedať Známka: 5.3 Hodnotiť:

Re: disqusting Od: MuadDib | Pridané: 9.10.2017 23:54 Alebo najlepší. Je to určite lepšie než zásuvník Facebooku. Ktorá dobrá besedná sústava nevyžaduje zápis? (Ktorý dobrý diskusný systém nevyžaduje registráciu?) Odpovedať Známka: 3.3 Hodnotiť:

Re: disqusting Od: asdfa | Pridané: 10.10.2017 8:34 dsl.sk ;) Odpovedať Známka: 10.0 Hodnotiť:

dnes má meniny Nový rok, Deň vzniku SR Od: _Buržuj | Pridané: 9.10.2017 15:30 Už je povolené nostalgicky spomínať na minulé desaťročie? Keď každý mal svoje phpbb fórum, ktoré dobre nezabezpečil a zas*ali mu ich ad boti. A tie marne snahy prechodu warez for na slušné fóra, ktoré skapali od nezáujmu. 2000s forever! Odpovedať Známka: 7.5 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: Neviem- | Pridané: 9.10.2017 20:42 http://dopice.sk/dgc Odpovedať Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: PPPATRIK | Pridané: 9.10.2017 23:13 war4u. sk, lamky. net, hornywhores .net Odpovedať Známka: 6.0 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od reg.: ciciniak | Pridané: 10.10.2017 0:52 Zlaté časy bez sociálnych sietí a mobilov bez foťáku. Som tak rád že som vyrastal koncom 90s. Odpovedať Známka: 0.0 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: ... | Pridané: 11.10.2017 8:40 Generacia od teba vyssie zase hovori: zlate casy bez pocitacov a stupidnychg PC hier, od nich starsia generacia zlate casy bez TV a sprostych filmov, od nich generacia zlate casy komunistov, dalsi zlate casy prvej republiky a dostaneme sa do praveku... Doba sa meni, stari zabudaju, ze neboli ini od mladych, len doba bola ina a tak sa aj prisposobili aktualnej vlne.V globale je vsetko rovnake, len sprostost sa presuva. Odpovedať Hodnotiť:

have i been pwned? Od: b2un0 | Pridané: 11.10.2017 0:53 Kto ešte nepozná, skontrolujte sa na haveibeenpwned.com Možno budete prekvapení. Odpovedať Hodnotiť:

Pridať komentár