Disqus confirma el fallo de seguridad que expuso datos de millones de usuarios

Escrito por Adrián Crespo

Nunca gusta a las empresas confirmar fallos de seguridad masivos. Sobre todo, si los datos de los usuarios se han visto afectados. Este es el caso de Disqus. Los responsables del servicio de mensajes en sitios web han confirmado que hace 5 años sufrieron un ataque que utilizó una brecha de seguridad que propició el acceso a la información de más de 17 millones de usuarios. Ahora salen a la luz algunos detalles relacionados con este ataque.

Lo que más interesa a los usuarios es qué información quedó al descubierto. O lo que es lo mismo, qué datos acabaron en manos de los ciberdelincuentes. Los informes publicados indican que los datos han sido varios. Correos electrónicos con los que se registró la cuenta en el servicio, nombre de usuarios, fecha del último inicio de sesión, configuraciones y el listado completo de inicios de sesión. Todo ellos en texto plano. Añaden que también las contraseñas de acceso se vieron afectadas, aunque estas e encontraban tratadas utilizando SHA-1.

De acuerdo con los datos filtrados, todos aquellos usuarios que se registraron en el servicio entre el año 2007 y 2012 sus cuentas se vieron afectadas por el robo de información. Para ser más precisos, hablamos del mes de julio, aunque la fecha exacta es un aspecto que no ha trascendido de forma oficial.

Desde Disqus indican que se llevaron a cabo las actuaciones correctas

La empresa desarrolladora del servicio indica que las acciones llevadas a cabo fueron las correctas. Se llevó a cabo el restablecimiento de las contraseñas de las cuentas, buscando de alguna forma minimizar los daños de cara a los usuarios.

Sin embargo, lo más criticado no ha sido esto, sino la falta de información existente. Sin ir más lejos, han pasado más de 5 años desde que se produjo la brecha de seguridad, y aun así  no ha salido a la luz toda la información que expertos en seguridad y muchos usuarios creen que debería haberse publicado.

Desde el servicio indican que, con motivo de este hackeo, modificaron el tratamiento de las contraseñas de las cuentas, pasando de SHA-1 a bcrypt.

Más información en las próximas semanas

La investigación parece que aún no ha terminado, o al menos eso han dicho por parte de Disqus. Indican que en las próximas semanas se podrán conocer más detalles relacionados. Añaden que no tienen constancia de inicios de sesión no autorizados utilizando los datos robados, algo que se evitó gracias a la rápida actuación para restablecer las contraseñas de las cuentas existentes hasta ese momento.

Lo que está claro es que en el momento del hackeo la seguridad no era la más adecuada. Esto es algo que se ha extrapolado a otros servicios que durante estos años se han visto afectados por problemas de seguridad.

Fuente > Bleeping Computer