Disqus, Anbieter des gleichnamigen Kommentar-Tools für Foren und News-Sites, hat einen Hackerangriff eingeräumt. Der Vorfall ereignete sich bereits im Juli 2012. Die unbekannten Täter erbeuteten Daten von mehr als 17,5 Millionen Nutzern. Erfahren hat das Unternehmen von dem Datenverlust nach eigenen Angaben erst in der vergangenen Woche.
Den Hackern fielen neben E-Mail-Adressen auch die Nutzernamen sowie die Daten der Registrierung eines Kontos und der letzten Anmeldung in die Hände. Von rund einem Drittel der Betroffenen erbeuteten sie zudem gehashte Passwörter (SHA1) mit Salt. Das Hashverfahren SHA1 ohne Salt hatten Google-Forscher Anfang des Jahres erfolgreich ausgehebelt.
„Bisher liegen uns keine Hinweise auf nicht autorisierte Log-ins vor“, teilte Disqus am Freitag mit. Es seien keine Klartext-Passwörter kompromittiert worden. Es sei aber möglich, wenn auch sehr unwahrscheinlich, die Daten zu entschlüsseln. „Als Sicherheitsmaßnahme haben wir die Passwörter aller betroffenen Nutzer zurückgesetzt. Wir empfehlen allen Nutzern, die Passwörter anderer Dienste zu ändern, falls die Passwörter mehrfach verwendet wurden.“
Da die E-Mail-Adressen im Klartext vorlägen, erhielten Betroffene wahrscheinlich künftig mehr Spam und unerwünschte E-Mails. Man gehe allerdings davon aus, dass die Daten nicht allgemein verfügbar seien. Zudem stammten die neuesten Daten aus Juli 2012.
Unabhängig von dem Vorfall habe Disqus zudem schon Ende 2012 den Hashing-Algorithmus auf das auch aktuell als sicher eingestufte Bcrypt-Verfahren umgestellt. Upgrades der Datenbank sowie Verschlüsselung erschwerten zudem Einbrüche und Datendiebstähle.
Hunt lobte indes die schnelle Reaktion von Disqus. „In weniger als 24 Stunden, nachdem sie von dem Einbruch erfahren haben, hat Disqus die gestohlenen Daten geprüft, die Passwörter betroffener Konten zurückgesetzt und eine sehr transparente Pressemitteilung zusammengestellt“, sagte der Sicherheitsforscher im Gespräch mit ZDNet USA. „Das ist ein Goldstandard für eine Reaktion auf einen Sicherheitsvorfall und legt die Latte für andere sehr hoch.“
Disqus-Nutzer können zudem in Troys Datenbank auf der Website „HaveIbeenpawned.com“ prüfen, ob sie von dem Vorfall betroffen sind. Hunt zufolge befinden sich 71 Prozent der E-Mail-Adressen aus der Disqus-Datenbank bereits in der seiner Datenbank mit mehr als 4,7 Milliarden kompromittierten E-Mail-Adressen – sie waren also schon früher das Opfer eines Hackerangriffs.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…