又一起数据泄漏事件曝光！

这次的受害者叫Disqus，专门为网站和博客提供评论功能（以插件形式），自数年前Web 2.0浪潮中创建后一直是该领域的领导者。

Disqus刚刚承认，自家系统于2012年7月被黑，攻击者窃取了1750万用户的个人信息。

失窃数据包括1750万用户的邮箱、用户名、注册日期以及最后登录日期。更重要的是，攻击者还拿到了里边大约三分之一用户的密码数据，这些密码使用SHA-1加盐散列存储，很大几率可以破解。

泄漏的数据库快照主要是从2012年起，最早能追溯到2007年。换句话说，最近注册的用户也可能受影响。

据Disqus官方公告称，在10月5日晚间，获悉泄漏消息的安全研究员Troy Hunt通知他们，这家公司才意识到自己的用户数据被盗了。Disqus CTO Jason Yan表示：

泄漏数据里密码是散列加密的，但它很可能被解密。为安全起见，我们重置了所有受影响用户的密码。如果有用户在其它服务上使用相同密码，建议也尽快修改。

有趣的是，2012年底Disqus进行安全升级，将密码散列算法由SHA1改为Bcrypt，官方强调这是一次正常的安全升级工作。相比SHA1，Bcrypt的加密强度要高很多，攻击者即使窃取了密码数据也不太可能破解。

考虑到Disqus没墙之前在国内的用户不少，如果大家有共用密码习惯，请尽快把其它服务的密码改掉。

黑客也可能会将泄漏数据和社会工程学技术结合，比如发一些Disqus或者其它主题的钓鱼邮件，收邮件方面也需要注意，不要乱点邮件附件。

目前尚不清楚Disqus被盗数据是如何在地下市场流转，官方安全人员正在调查，如有进展我们会更新相关细节。