Para quienes no lo conocen o saben poco sobre ello, Disqus es un servicio en línea que permite la gestión de comentarios o discusiones en blogs y sitios web, además de ser una especie de red social y lector de feeds gracias a una comunidad que permite seguir canales y personas e interactuar con ellas. Además, es el sistema de comentarios usado por nuestro grupo de webs (esta misma, OneWindows y VirtualWorld). Pues bien, el caso es que este servicio ha informado que una de sus bases de datos sufrió una violación de seguridad en el año 2012.
En el blog de Disqus detallan lo que saben hasta ahora sobre dicho problema. Una instantánea de su base de datos de usuarios de 2012, la cual además incluye información desde 2007, fue expuesta. Al parecer los datos afectados incluyen direcciones de correo electrónico, nombres de usuario de Disqus, fechas de registro y fechas de inicio de sesión en texto sin formato de 17,5 millones de usuarios. Y eso no es todo, las contraseñas de un tercio de esos usuarios también están entre los datos obtenidos.
Medidas adoptadas y por adoptar en Disqus
Disqus dice también que se ha puesto en contacto con los usuarios víctimas de este hackeo y se han restablecido sus contraseñas, forzándoles así a cambiarlas por su seguridad. Aunque de momento no parece haber ninguna evidencia de inicios de sesión no autorizados, existe la posibilidad de que se descifren las contraseñas de texto sin formato del resto de usuarios que no han sido afectados.
Debido a la filtración de las direcciones de correo es probable también que varios usuarios reciban gran cantidad de correo no deseado o spam.
En este momento no hay ninguna evidencia de inicios de sesión no autorizados que se hayan producido en relación con esto. No se expusieron contraseñas de texto sin formato, pero es posible que estos datos se descifren (aunque sea improbable). Como precaución de seguridad, hemos restablecido las contraseñas para todos los usuarios afectados. Recomendamos que todos los usuarios cambien las contraseñas de otros servicios si se comparten.
El equipo de Disqus sigue investigando el tema y además de realizar el cambio de contraseñas, han tomado medidas para proteger las cuentas incluidas en la instantánea de datos. Parece ser que ahora no hay amenaza alguna para esas cuentas de usuario.
Como parte de las medidas de seguridad normales, desde 2012 han realizado actualizaciones significativas de sus bases de datos y encriptación para evitar infracciones y aumentar la seguridad de las contraseñas. En concreto se ha pasado de usar el algoritmo SHA-1 para la encriptación al más avanzado algoritmo Bcrypt, pero pese a todo no podemos dudar que este problema no deja bien parada a la gente de este servicio.
Si tienes dudas de si tu contraseña ha sido robada o bien quieres asegurarte que no tengas la cuenta en riesgo, te recomendamos la página Have I been Pwned. Solo tendrás que introducir tu dirección de correo electrónico o nombre de usuario y la página se encargará de decirte qué cuentas han sido afectadas como parte de un robo de datos, ya sea de Disqus o de cualquiera de los servicios y productos de distintas compañías que listan en su web.