Disqus, el conocido servicio de comentarios para sitios web (incluidos los de TPNet) y blogs, ha admitido que fue hackeado hace 5 años, siendo la consecuencia el robo de 17,5 millones de contraseñas.

Estamos ante otro caso similar a los que afectaron a Yahoo y Myspace. En el caso de Disqus, los hackers obtuvieron nombres de usuario, direcciones de email, fechas de registro, fechas de último acceso y contraseñas cifradas en SHA-1. La compañía tras el conocido plugin de comentarios ha reconocido que la primera exposición de datos se remonta a 2007, habiendo ocurrido la más reciente en julio de 2012.

¿Por qué nos enteramos ahora de este ataque cuando ocurrió hace tanto tiempo? La razón es que Troy Hunt, un conocido investigador en seguridad independiente, consiguió el 5 de octubre de 2017 una copia de los datos robados. Tras comprobar que podrían ser verdaderos, decidió notificar a Disqus, que a su vez informó de forma pública sobre la brecha de datos y empezó a avisar a los usuarios afectados para forzarles a cambiar la contraseña:

No se ha expuesto ninguna contraseña en texto plano, pero es posible que este dato sea descifrado (aunque sea improbable). Como medida de precaución, hemos reiniciado las contraseñas de todos los usuarios afectados. Hemos recomendado a todos los usuarios cambiar sus contraseñas en otros servicios en los cuales usen la misma.

Disqus ha implementado desde 2012 diversas mejoras en la seguridad de su servicio, destacando el cambio de SHA-1 a bcrypt. Esto explicaría el porqué 2012 es el último año en el que los hackers pudieron hacerse con datos almacenados en el servicio de comentarios.

¿Por qué tendrías que cambiar tu contraseña de Disqus?

Aunque las contraseñas robadas estaban cifradas, es importante tener en cuenta que el algoritmo utilizado es SHA-1, que lleva tiempo siendo puesto en duda y considerado como poco seguro.

Usar un cifrado poco fuerte da más posibilidades a los atacantes de poder romper las contraseñas mediante el uso de fuerza bruta. Esto, unido a que muchos usuarios usan la misma contraseña en diversos servicios, invitaría a los hackers a intentar probarla en distintos sitios una vez obtenida para provocar aún más daño.

Con riesgo a sonar repetitivos, desde MuySeguridad recomendamos encarecidamente el uso de un gestor si el usuario utiliza una gran cantidad de contraseñas (algo nada sorprendente en estos días), más si las está repitiendo en distintos servicios y sitios web.

Fuente: The Hacker News