Disqus è un'azienda che produce un popolare plugin-in tramite il quale si può implementare facilmente una sezione "commenti" nel proprio sito o blog.

Lo scorso 5 ottobre Disqus ha scoperto di aver subito una violazione che risale addirittura al 2012: il merito della scoperta va a Troy Hunt, un esperto indipendente di sicurezza.

Come risultato della violazione, uno snapshot del database di Disqus, così come si presentava nel 2012, è stato rubato: conteneva informazioni relative a circa 17,5 milioni, tra cui indirizzi email, nomi utente, e hash delle password (protette con crittografia SHA1).

Leggi anche:

Il fondatore di HaveIBeenPwned vittima di phishing

Equifax: aggiornamenti sul disastro informatico, incompetenze incredibili

Rubati a Equifax i dati di metà degli americani

Google ha violato la crittografia SHA-1

Disqus ha il merito, riconosciuto dallo stesso Hunt, di aver reso immediatamente pubblica la situazione e di aver subito iniziato ad avvisare gli utenti interessati dal problema.

«Non sono state rubate password in testo semplice» - ha fatto sapere l'azienda - «ma è possibile che alcuni dei dati siano stati decriptati (sebbene ciò sia improbabile). A titolo di precauzione, abbiano reimpostato le password di tutti gli utenti colpiti. Raccomandiamo che tutti gli utenti cambino le password usate su altri servizi, se sono condivise».

Dal 2012, inoltre, Disqus ha introdotto alcune modifiche che migliorano la sicurezza, tra cui l'adozione di un algoritmo più sicuro per calcolare gli hash delle password: Bcrypt.