Bu sefer popüler yorum yazma sistemi büyük bir güvenlik ihlaline kurban gitti.
Web siteleri ve bloglar için web tabanlı bir yorum eklentisi olan Disqus, Temmuz 2012‘de 5 yıl önce ihlal edildiğini ve bilgisayar korsanlarının 17.5 milyondan fazla kullanıcının detaylı bilgilerini çaldıklarını itiraf etti.
Çalınan veriler, 17.5 milyon kullanıcının e-posta adreslerini, kullanıcı adlarını, kayıt tarihlerini ve son giriş tarihlerini metin halinde içeriyor.
Şirket, kullanıcı bilgilerinin 2007 yılına dayandığını ve son olarak Temmuz 2012’den itibaren piyasaya sürüldüğünü açıkladı.
Disqus’a göre, 5 Ekim Perşembe akşamı, sitenin bir kopyasını edinen bağımsız bir güvenlik araştırmacısı Troy Hunt‘ın şirketi bilgilendirmesinin ardından ihlal edildiğinin farkına vardı.
Disqus, yaklaşık 24 saat içinde veri ihlalini açıkladı ve etkilenen kullanıcılarla temasa geçerek, mümkün olan en kısa sürede parolalarını sıfırlamaya zorladı.
Disqus CTO’su Jason Yan bir blog yazısında “Hiçbir düz metin parolası açığa çıkmadı, ancak bu verilerin şifresiz çözülmesi mümkün. Güvenlik önlemi olarak, tüm etkilenen kullanıcılar için parolalarını sıfırladık.” dedi.
Bununla birlikte, 2012 yılının sonlarından beri Disqus, güvenliğini artırmak için yeni yükseltmeler yaptı ve parola karma algoritmasını Bcrypt olarak değiştirdi. Bu, bilgisayar korsanlarının kullanıcı parolasını elde etmesini zorlaştıran çok daha güçlü bir şifreleme algoritması.
Muhtemelen bilgisayar korsanları, mağdurlarla ilgili daha fazla bilgi edinmek için bu çalıntı bilgileri sosyal mühendislik teknikleriyle birlikte kullanabilirler. Bu nedenle, kötü amaçlı dosya ekleri taşıyan phishing e-postalarına dikkat etmeniz önerilir.
Bilgisayar korsanlarının Disqus verilerini nasıl elde ettikleri hala belli değil. San Francisco merkezli Disqus, bu güvenlik sorununu hâlâ araştırıyor.
Jason Yan, “2012 yılından beri, normal güvenlik geliştirmelerinin bir parçası olarak, ihlalleri önlemek ve parola güvenliğini artırmak için veri tabanımıza ve şifrelemeye önemli yükseltmeler yaptık.” dedi.
Daha fazla ayrıntı ortaya çıktığında sizlere bildireceğiz.
.png)
