La privacy di Disqus, il noto servizio di hosting di commenti usato da vari siti web e comunità virtuali in tutto il mondo, è stata violata da un attaccato hacker. Alcuni pirati sono riusciti ad ottenere l’accesso al database del sistema che consente di commentare articoli su tanti siti (incluso questo che state leggendo), ottenendo mail e password (criptate con la funzione di cifratura SHA1) di 18 milioni di account.
“Stiamo ancora indagando” ha spiegato Jason Yan, fondatore di Disqus; “riteniamo sia ad ogni modo meglio condividere quanto accaduto. Sappiamo che uno snapshot (istantanea, ndr) del nostro database dal 2012, con incluse informazioni che risalgono al 2007, è rimasta esposta”.
“Lo snapshot include indirizzo di posta elettronica, nome utente usato su Disqus, date di iscrizione e ultima data di login in testo chiaro per 17.5 milioni di utenti. Inoltre, sono state prelevate le password (mascherate con cifratura SHA1) di circa un terzo degli utenti”.
Stando a quanto spiega Yan, la falla nella sicurezza è stata individuata giovedì alle 4.18 PT. Dopo un ora il team di Disqus ha analizzato e confermato che dati che cominciavano a circolare online, erano reali.
4pm PT on a Friday, and… DING DING we have a bury-bad-news winner: It's Disqus. Which was hacked https://t.co/oPAOF13MSo pic.twitter.com/qcHcG2XdTL
— The Register (@TheRegister) October 6, 2017
L’azienda di San Francisco dice di avere avvisto gli utenti, rendendo tempestivamente di dominio pubblico quanto accaduto senza intenzione di nascondere quanto accaduto. Sono state resettate le password degli account colpiti dal problema e gli utenti avvisati di farlo lo stesso su altri account se hanno l’abitudine di usare la stessa password per più servizi, questo per tutelare altri servizi.
Il problema, come abbiamo tante volte spiegato è che le persone tendono a usare password comuni per più servizi. Una password comune, come può essere “123456” o “qwerty” o “password” (e così via), sono facili da compromettere; se poi vengono utilizzate su più account, un malintenzionato ha la possibilità di accedere a più dati e servizi in un colpo solo. Quando possibile proteggere sempre gli account con i meccanismi di autenticazione a due fattori. La tecnologia in questione consente di proteggere l’accesso con una particolare tecnica: non basta conoscere la login e la password di un sito/servizi per accedere, ma si deve anche indicare un dispositivo autenticato (es. un cellulare) che dovremo avere a portata di mano per leggere un codice che verrà inviato quando qualcuno cerca di accedere da un computer, tablet, telefono non noto.