知名留言板軟體Disqus上周公告該公司用戶資料庫2012年遭駭,共有超過1750萬筆用戶資料外洩,但該公司強調用戶應不致受到影響。

這批外洩資料包含1750多萬名用戶的電子郵件、使用者姓名、註冊日期及最後登入日期,全部都是明碼資料。其中。此外還有1/3以SHA1雜湊與加鹽處理過的用戶密碼也已外洩。

Disqus是頗受歡迎的網站及部落格留言板軟體,宣稱每月經由該軟體刊登的留言超過5000萬則,不重覆造訪人數達20億。上周一名外部安全研究員發現這起竊案,他告知了帳號被駭檢測服務網站haveibeenpwned.com的主持人Troy Hunt,Hunt再於10月5日通報Disqus,該公司隨即展開調查。為求安全起見,Disqus已經將所有受影響用戶的密碼重設,並於10月6日向這些受影響的用戶發出通知。

事件起於2012年7月該公司資料庫被駭。根據Disqus的初步調查,目前沒有證據顯示這些外洩資料導致後來有未授權登入的情形,也沒有未加密的密碼外洩,而且這些資料也沒有被廣為散佈。但不排除已加密的密碼會遭到解密。
同時Disqus也強調,為了預防資料外洩及密碼安全性,自2012年起,該公司曾經對資料庫及加密技術做出重大升級。特別是在2012年底,Disqus還將密碼雜湊演算法由舊式的SHA1改為bcrypt。因此,照理說應該不會有任何帳戶遭受威脅,除了用戶可能接到垃圾或詐騙郵件。

由於破解成本愈來愈低,SHA-1已經被公認為相當不安全的加密技術,包括微軟Microsoft Edge及IEGoogle Chrome及Mozilla Firefox等主要瀏覽器,都已經在2016年起逐步終止支援SHA-1憑證。

而這件事件是繼LinkedIn、Yahoo及MySpace之後最新一起大規模資料外洩。上周Yahoo才坦承2013年被駭,導致超過30億的全數用戶資料外洩。


Advertisement

更多 iThome相關內容