Quem descobriu o vazamento foi Troy Hunt, pesquisador de segurança e responsável pelo Have I Been Pwned, que mostra se alguma senha sua já vazou na internet (provavelmente já). Ele informou o Disqus sobre o problema na tarde de 5 de outubro; no dia seguinte, a empresa começou a avisar os usuários afetados por e-mail, pedindo que eles trocassem suas senhas.
A empresa admite que o banco de dados vazado tinha informações registradas entre 2007 e 2012, que incluem “endereços de e-mail, nomes de usuários do Disqus, datas de cadastro e data de último login em texto puro para 17,5 milhões de usuários”. Além disso, hashes de senhas em SHA1 de um terço dos usuários foram obtidos — o Disqus mudou a técnica de hash para bcrypt no final de 2012. Não há evidências de que logins não autorizados tenham sido feitos por causa do ataque, mas o próprio Disqus recomenda que todos os usuários troquem suas senhas — inclusive em outros serviços, caso compartilhem a mesma combinação (SHAME ON YOU!). Além disso, como os endereços de e-mail estavam em texto puro, é provável que os usuários recebam mais spam.
