Foren-Tool Disqus bestätigt Hackerangriff

Disqus, Anbieter des gleichnamigen Kommentar-Tools für Foren und News-Sites, hat einen Hackerangriff eingeräumt. Der Vorfall ereignete sich bereits im Juli 2012. Die unbekannten Täter erbeuteten Daten von mehr als 17,5 Millionen Nutzern. Erfahren hat das Unternehmen von dem Datenverlust nach eigenen Angaben erst in der vergangenen Woche.

Einem Blogeintrag zufolge wurde Disqus letzten Donnerstag vom Sicherheitsforscher Troy Hunt kontaktiert, der die Website „Have I been pwned“ betreibt. Dem Australier liegt offenbar eine Kopie der gestohlenen Daten vor, die er Disqus zur Prüfung übermittelte. Seit Freitag informiert Disqus nun nach eigenen Angaben die betroffenen Nutzer und fordert sie zum Zurücksetzen ihrer Kennwörter auf.

Den Hackern fielen neben E-Mail-Adressen auch die Nutzernamen sowie die Daten der Registrierung eines Kontos und der letzten Anmeldung in die Hände. Von rund einem Drittel der Betroffenen erbeuteten sie zudem gehashte Passwörter (SHA1) mit Salt. Das Hashverfahren SHA1 ohne Salt hatten Google-Forscher Anfang des Jahres erfolgreich ausgehebelt.

„Bisher liegen uns keine Hinweise auf nicht autorisierte Log-ins vor“, teilte Disqus am Freitag mit. Es seien keine Klartext-Passwörter kompromittiert worden. Es sei aber möglich, wenn auch sehr unwahrscheinlich, die Daten zu entschlüsseln. „Als Sicherheitsmaßnahme haben wir die Passwörter aller betroffenen Nutzer zurückgesetzt. Wir empfehlen allen Nutzern, die Passwörter anderer Dienste zu ändern, falls die Passwörter mehrfach verwendet wurden.“

Da die E-Mail-Adressen im Klartext vorlägen, erhielten Betroffene wahrscheinlich künftig mehr Spam und unerwünschte E-Mails. Man gehe allerdings davon aus, dass die Daten nicht allgemein verfügbar seien. Zudem stammten die neuesten Daten aus Juli 2012.

Unabhängig von dem Vorfall habe Disqus zudem schon Ende 2012 den Hashing-Algorithmus auf das auch aktuell als sicher eingestufte Bcrypt-Verfahren umgestellt. Upgrades der Datenbank sowie Verschlüsselung erschwerten zudem Einbrüche und Datendiebstähle.

Hunt lobte indes die schnelle Reaktion von Disqus. „In weniger als 24 Stunden, nachdem sie von dem Einbruch erfahren haben, hat Disqus die gestohlenen Daten geprüft, die Passwörter betroffener Konten zurückgesetzt und eine sehr transparente Pressemitteilung zusammengestellt“, sagte der Sicherheitsforscher im Gespräch mit ZDNet USA. „Das ist ein Goldstandard für eine Reaktion auf einen Sicherheitsvorfall und legt die Latte für andere sehr hoch.“

Disqus-Nutzer können zudem in Troys Datenbank auf der Website „HaveIbeenpawned.com“ prüfen, ob sie von dem Vorfall betroffen sind. Hunt zufolge befinden sich 71 Prozent der E-Mail-Adressen aus der Disqus-Datenbank bereits in der seiner Datenbank mit mehr als 4,7 Milliarden kompromittierten E-Mail-Adressen – sie waren also schon früher das Opfer eines Hackerangriffs.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago