Disqus, el sistema de comentarios favorito de la web, sufre un ataque informático

¿Qué ha pasado?

Disqus, el “servicio de alojamiento de comentarios de blogs número uno para sitios web y comunidades en línea” (muy probablemente nuestros lectores no necesiten este detalle) fue aparentemente hackeado por atacantes desconocidos en 2012. La empresa sólo ha descubierto este ataque ahora y lo ha confirmado en un anuncio oficial. Aunque puede que haya permanecido ajena a este ataque durante más de media década, para su crédito la empresa investigó y confirmó el ataque en menos de un día después de ser notificada.

¿Qué datos se han visto afectados?

La empresa ha revelado que una “instantánea” de su base de datos de usuarios que contenía información que data de 2007 fue robada por los atacantes. Estos datos incluyen direcciones de correo electrónico, nombres de usuario de Disqus, fechas de registro y últimas fechas de inicio de sesión en texto plano para 17,5 millones de usuarios. Alrededor de un tercio de estos usuarios afectados pueden haber perdido también sus contraseñas cifradas con SHA1 a los hackers.

¿Qué consecuencias tiene este ataque?

Disqus dice que no ha encontrado ninguna evidencia de que los datos se hayan utilizado para acceder sin autorización. “Las direcciones de correo electrónico están en texto plano aquí, así que es posible que los usuarios afectados reciban spam o correos electrónicos no deseados”, ha añadido la empresa. Disqus fue notificado sobre este ataque por el famoso investigador de seguridad, Troy Hunt, que encontró una copia de los datos robados y se lo comunicó a Disqus el 5 de octubre. Hunt tuiteó que la empresa tardó menos de 24 horas en responder al ataque y divulgarlo públicamente (ahem SEC, Equifax …).

¿Qué medidas ha tomado Disqus?

La empresa ha añadido en su divulgación del ataque que había cambiado el algoritmo de cifrado de contraseñas de SHA1 a bcrypt a finales de 2012. Disqus es uno de los mayores proveedores de sistemas de discusión alojados en la web. Aunque dice que hasta ahora no se ha detectado ningún acceso no autorizado, la empresa ha empezado a obligar a los usuarios afectados a restablecer sus contraseñas. “Estamos contactando con todos los usuarios cuya información se incluyó para informarles de la situación”, ha dicho, prometiendo mantener a sus usuarios actualizados con más información si surge algo nuevo. “Tu confianza en Disqus es importante para nosotros y estamos trabajando duro para mantenerla”.

¿Qué podemos aprender de este incidente?

Este ataque informático nos recuerda la importancia de proteger nuestros datos personales en línea. Algunas de las medidas que podemos tomar son:

  • Usar contraseñas seguras y únicas para cada sitio web o servicio que utilicemos.
  • Cambiar nuestras contraseñas con regularidad y especialmente si sospechamos que han sido comprometidas.
  • Activar la verificación en dos pasos siempre que sea posible para añadir una capa extra de seguridad.
  • Revisar los permisos que concedemos a las aplicaciones y servicios de terceros que se conectan con nuestras cuentas.
  • Estar atentos a los correos electrónicos o mensajes sospechosos que nos pidan información personal o que nos dirijan a sitios web fraudulentos.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *