Disqus Hacked: 17,5 Juta Pelanggan Menjadi Korban
Siapa
yang tidak mengenal Disqus? Ini adalah sistem diskusi host yang paling umum
digunakan di situs berita dan forum. Tentu saja, ini mengharuskan berlangganan
layanan untuk berkomentar.
Jadi, buat Anda yang memiliki akun Disqus sejak 2007,
maka Anda akan khawatir karena layanan tersebut menjadi
korban serangan balik yang ditargetkan pada tahun 2012 di mana database dari
tahun 2007 diretas.
Sejauh
ini desas-desus tentang hacking Disqus, namun perusahaan
tersebut tetap menjadi penanggungjawab dalam masalah ini.
Akhirnya, Disqus telah
mengkonfirmasi bahwa sistem komersilnya memang dikompromikan pada tahun 2012.
Perusahaan mengklaim bahwa akses yang tidak sah belum terdeteksi, namun sebagai
tindakan pencegahan, pengguna harus menyetel ulang kata sandinya.
Dalam
sebuah pernyataan resmi, Disqus menyatakan bahwa :
"Kemarin, pada tanggal 5 Oktober,
kami diberitahu mengenai pelanggaran keamanan yang berdampak pada database dari
tahun 2012. Sementara kami masih menyelidiki kejadian tersebut, kami yakin
sebaiknya berbagi apa yang kami ketahui sekarang. Kami menghubungi semua
pengguna yang informasinya disertakan untuk memberi tahu mereka tentang
situasinya. Kepercayaan Anda pada Disqus penting bagi kami, dan kami berusaha
keras untuk mempertahankannya. "
Kabarnya,
dalam data pelanggaran yang terjadi pada Juli 2012 hacker berhasil mencuri
database Disqus yang berisi alamat email 17.5million. Pelanggaran, bagaimanapun,
telah diselidiki baru-baru ini oleh Disqus dan saat ini sedang melakukan tugas
wajib untuk memperingatkan pengguna tentang hack data.
Menurut
penyidikan yang dilakukan oleh Disqus, database yang di hack memiliki catatan
pengguna dari tahun 2007, dan penyerang belum diketahui. Mereka telah
menyediakan sebuah snapshot dari database hacked juga. Informasi yang tersimpan
dalam database ini mencakup ID email, nama pengguna, tanggal berlangganan dan
tanggal masuk terakhir. Semua informasi tersimpan dalam format plaintext.
Karena
password di hash dengan algoritma SHA1 yang tidak dapat diandalkan pada saat
itu dan Disqus beralih ke bcrypt pada tahun 2012. Oleh karena itu, diyakini
bahwa sekitar sepertiga dari total 17,5 juta pengguna yang terkena dampak mungkin
juga kehilangan kata sandinya. Apalagi sekarang pengguna ini rentan terhadap
segala macam penipuan phishing dan pesan spam. Seperti yang dicatat perusahaan
itu sendiri:
"Alamat email ada di teks biasa di
sini, jadi mungkin pengguna yang terkena dampak mungkin menerima spam atau
email yang tidak diinginkan."
Perlu
dicatat bahwa peneliti keamanan terkenal Troy Hunt (pemilik pelanggaran data
yang memberitahukan layanan Have I Been Pwned) menginformasikan Disqus tentang
hack data ini. Hunt menciak tentang temuannya setelah menemukan salinan
database yang diretas. Dia segera memberitahu Disqus dan dalam waktu 24 jam
perusahaan mengambil tindakan yang diperlukan untuk melakukan penyelidikan dan
memberi tahu pengguna yang terkena dampak, yang sangat mengesankan Hunt.
"Dalam
waktu kurang dari 24 jam setelah belajar dari pelanggaran pertama, Disqus telah
berhasil menilai data pelanggaran, menetapkan garis waktu kejadian, mereset
kata sandi pada akun yang terkena dampak, membuat pengumuman yang sangat
transparan dan berhubungan langsung dengan pers," catat Hunt
Hunt
lebih lanjut menyatakan bahwa "Ini adalah standar emas untuk menanggapi
insiden keamanan dan menetapkan area yang sangat tinggi bagi orang lain untuk
bercita-cita di masa depan."
Database
yang di-hack hanya mewakili 10% dari seluruh database Disqus, dan di basis data
yang diretas sebagian besar akun tidak memiliki kata kunci karena pengguna
masuk melalui layanan pihak ketiga seperti Google atau Facebook. Karena itu,
kerusakan dalam hal itu tidak parah.
Disqus
adalah nomor satu "layanan hosting komentar blog" yang tersedia untuk
situs web dan komunitas online dan penyedia komentar berbasis web terbesar di
web. Ini menciptakan dan memberikan plugin komentar untuk situs berita dan oleh
karena itu, tidak mengherankan jika para penjahat dunia maya mencoba menyerang
forum populer ini juga.