Foren-Tool Disqus bestätigt Hackerangriff

Disqus, Anbieter des gleichnamigen Kommentar-Tools für Foren und News-Sites, hat einen Hackerangriff eingeräumt. Der Vorfall ereignete sich bereits im Juli 2012. Die unbekannten Täter erbeuteten Daten von mehr als 17,5 Millionen Nutzern. Erfahren hat das Unternehmen von dem Datenverlust nach eigenen Angaben erst in der vergangenen Woche.

Einem Blogeintrag zufolge wurde Disqus letzten Donnerstag vom Sicherheitsforscher Troy Hunt kontaktiert, der die Website „Have I been pwned“ betreibt. Dem Australier liegt offenbar eine Kopie der gestohlenen Daten vor, die er Disqus zur Prüfung übermittelte. Seit Freitag informiert Disqus nun nach eigenen Angaben die betroffenen Nutzer und fordert sie zum Zurücksetzen ihrer Kennwörter auf.

Den Hackern fielen neben E-Mail-Adressen auch die Nutzernamen sowie die Daten der Registrierung eines Kontos und der letzten Anmeldung in die Hände. Von rund einem Drittel der Betroffenen erbeuteten sie zudem gehashte Passwörter (SHA1) mit Salt. Das Hashverfahren SHA1 ohne Salt hatten Google-Forscher Anfang des Jahres erfolgreich ausgehebelt.

„Bisher liegen uns keine Hinweise auf nicht autorisierte Log-ins vor“, teilte Disqus am Freitag mit. Es seien keine Klartext-Passwörter kompromittiert worden. Es sei aber möglich, wenn auch sehr unwahrscheinlich, die Daten zu entschlüsseln. „Als Sicherheitsmaßnahme haben wir die Passwörter aller betroffenen Nutzer zurückgesetzt. Wir empfehlen allen Nutzern, die Passwörter anderer Dienste zu ändern, falls die Passwörter mehrfach verwendet wurden.“

Da die E-Mail-Adressen im Klartext vorlägen, erhielten Betroffene wahrscheinlich künftig mehr Spam und unerwünschte E-Mails. Man gehe allerdings davon aus, dass die Daten nicht allgemein verfügbar seien. Zudem stammten die neuesten Daten aus Juli 2012.

Unabhängig von dem Vorfall habe Disqus zudem schon Ende 2012 den Hashing-Algorithmus auf das auch aktuell als sicher eingestufte Bcrypt-Verfahren umgestellt. Upgrades der Datenbank sowie Verschlüsselung erschwerten zudem Einbrüche und Datendiebstähle.

Hunt lobte indes die schnelle Reaktion von Disqus. „In weniger als 24 Stunden, nachdem sie von dem Einbruch erfahren haben, hat Disqus die gestohlenen Daten geprüft, die Passwörter betroffener Konten zurückgesetzt und eine sehr transparente Pressemitteilung zusammengestellt“, sagte der Sicherheitsforscher im Gespräch mit ZDNet USA. „Das ist ein Goldstandard für eine Reaktion auf einen Sicherheitsvorfall und legt die Latte für andere sehr hoch.“

Disqus-Nutzer können zudem in Troys Datenbank auf der Website „HaveIbeenpawned.com“ prüfen, ob sie von dem Vorfall betroffen sind. Hunt zufolge befinden sich 71 Prozent der E-Mail-Adressen aus der Disqus-Datenbank bereits in der seiner Datenbank mit mehr als 4,7 Milliarden kompromittierten E-Mail-Adressen – sie waren also schon früher das Opfer eines Hackerangriffs.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago