La société propose un service de commentaires en ligne intégrable sur des sites web (et largement utilisé). Via un billet de blog, elle indique avoir été informée d’une fuite de données personnelles.

Après enquête, elle confirme que 17,5 millions d’utilisateurs sont touchés et que les informations en circulation datent de 2007 à 2012.

Elles comprennent l’adresse email, le nom d’utilisateur, les dates d’inscription et de dernière connexion de l’époque, le tout au format texte. Pour un tiers des utilisateurs, le mot de passe haché et salé via SHA-1 est également présent.

Disqus ajoute à juste titre que ces derniers peuvent en théorie être décryptés, bien que cela soit jugé « peu probable » par la société. À titre préventif, ils ont tout de même été réinitialisés pour tous les comptes concernés. Depuis fin 2012, SHA-1 a été laissé de côté au profit de bcrypt.

L’enquête suit son cours et Disqus donnera de plus amples informations au fur et à mesure de son avancée.