El servidor de blogs de comentarios Disqus sufrió un ataque informático en el año 2012, exponiendo 17.5 millones de direcciones de correo electrónico de sus usuarios, comentó la firma el pasado viernes.

La información afectada incluye nombres de usuario de la organización, fechas de inicio y final de sesión en texto plano, así como también los hashes de las contraseñas, de las cuales una de cada tres se encontraban cifradas mediante el algoritmo SHA1.

El robo de la información parece haber sucedido en el mes de Julio del 2012, parte de la información de la base de datos específica se remonta al año 2007, de acuerdo con el post de la firma.

Disqus se encuentra en el proceso de notificación a los usuarios afectados, solicitándoles el cambio de contraseña como medida de precaución.

“Hasta este momento no existe evidencia de inicios de sesión no autorizados en relación con esto. Ninguna de las contraseñas se encuentra en texto plano, pero es posible que esta información fuera descifrada (inclusive si es poco probable). Como medida de seguridad, se han reseteado las contraseñas de todos los usuarios afectados. Adicionalmente, recomendamos a los usuarios que cambien las contraseñas de otros servicios, si es que estas son iguales a las utilizadas en la plataforma de Disqus”, comentó.

 “Las direcciones de correo electrónico se encuentran en texto plano, así que es posible que los usuarios afectados recibieran correo spam o no deseado”.

Se desconoce cómo los atacantes pudieron infiltrarse en la organización, pero tardaron cerca de cinco años en descubrir que la información había sido comprometida, una vez más la falta de visión de las compañías recae en su actividad en la red.

Eso dijo el experto en seguridad Troy Hunt, quien fue el primero en informar a Disqus sobre la vulnerabilidad la semana pasada, comentó que el incidente se ha gestionado desde que fue catalogado como “ejemplar”, un punto tomado en cuenta por muchos de los comentaristas en línea.

“Este es un momento difícil para Disqus y no existe evidencia de cómo, cuándo y quién obtuvo acceso descontrolado, por lo que ellos mismos perdieron control de la información de los usuarios”, argumentó.

“Los clientes se han mostrado positivos a pesar de la vulnerabilidad y la forma en que Disqus ha manejado la situación”

Adicionalmente, la firma explicó que buscan cambiar el algoritmo de cifrado SHA-1 por uno más seguro.