Disqus : une brèche affectant 17,5 millions de comptes

Une fuite de données de la société Disqus a été découverte par un chercheur en sécurité indépendant, Troy Hunt, qui a immédiatement alerté celle-ci. La fuite a été découverte via le site https://haveibeenpwned.com qui permet à un utilisateur de vérifier si ses coordonnées ont été incluses dans des leaks de données.

Disqus est un service Web de discussion et de commentaires d'articles centralisé avec authentification unique. Il permet à des sites Internet de se décharger de la gestion des commentaires d'articles, et à ses utilisateurs de pouvoir poster des commentaires en utilisant le même compte quel que soit le site Internet. Ce service est fourni à 35 millions d’utilisateurs sur plus de 750 000 sites web.

De ce fait, les adresses mails, noms et dates d’inscription et de connexion de 17,5 millions d’utilisateurs pourraient avoir été exposées suite à la fuite de données d'une base de données de Disqus contenant environ 5 ans d’entrées utilisateur s’étalant de 2007 à 2012.

Disqus a également communiqué au travers de son blog que les empreintes de mots de passe de 5 millions d’utilisateurs auraient également fuité. Cependant, elle rassure ses utilisateurs en indiquant que seules les empreintes de mots de passe étaient stockées en base et que ceux-ci n’étaient pas disponibles en clair. Elle indique cependant qu’il est possible que ceux-ci aient été déchiffrés car l’algorithme de hachage utilisé à l’époque n’est plus aujourd’hui considéré comme fiable.

La société a donc procédé à la réinitialisation de tous les mots de passe des comptes impactés et a exhorté ses utilisateurs à la vigilance sur une éventuelle tentative de phishing ou de spam suite à l’acquisition de leurs adresses mail par une personne malveillante.