
« L’échantillon inclut des adresses de courriel, des noms d’utilisateurs, des dates de création de compte et les dernières dates de connexion de près de 17,5 millions d’utilisateurs », écrivent les responsables qui ajoutent que « de plus, les mots de passe (hachés en SHA-1) de près du tiers des utilisateurs sont inclus. »
« Nous nous excusons auprès des utilisateurs affectés par cette fuite. Notre intention est d’être les plus transparents possible à propos des événements, notamment de la période à laquelle nous l’avons découvert, des implications, et des mesures que nous adopterons », a écrit Disqus.
Les utilisateurs affectés ont en principe reçu des notifications depuis hier si l’on s’en tient au chronogramme publié par l’entreprise et repris dans le tweet de Troy Hunt (cf. image ci-dessus). La mesure semble destinée à les informer d’une réinitialisation de leur mot de passe. Prévenir vaut en effet mieux que guérir puisqu’avec un matériel de qualité, un cybercriminel peut déchiffrer des mots de passe chiffrés en SHA-1. Les nouveaux mots de passe seront hachés en bcrypt selon que Disqus déclare : « fin 2012, nous avons fait passer notre algorithme de hachage de mots de passe de SHA-1 à bcrypt. »
Mais comme le signale Disqus, les utilisateurs restent sous la menace de l’un des outils les plus utilisés dans l’arsenal des cybercriminels : les attaques par hameçonnage. Les responsables soulignent en effet que l’échantillon livre les adresses de courriel des utilisateurs « en clair », toute chose qui peut permettre à un tiers de se faire passer pour Disqus et déposer des charges malicieuses sur le poste d’une victime. Il faudra donc surveiller les courriels soi-disant en provenance de Disqus et surtout revoir ses habitudes de gestion des comptes en ligne. Il s’avère en effet que de nombreux utilisateurs continuent d’utiliser des mots de passe identiques sur plusieurs comptes en ligne.
On ne sait encore rien du stratagème utilisé par les cybercriminels pour subtiliser ces données, mais du côté de Disqus, les enquêtes se poursuivent et des détails supplémentaires feront probablement surface dans les semaines à venir.
Source : billet de blog
Et vous ?


Voir aussi :

