Disqus, Anbieter des gleichnamigen Kommentar-Tools für Foren und News-Sites, hat einen Hackerangriff eingeräumt. Der Vorfall ereignete sich bereits im Juli 2012. Die unbekannten Täter erbeuteten Daten von mehr als 17,5 Millionen Nutzern. Erfahren hat das Unternehmen von dem Datenverlust nach eigenen Angaben erst in der vergangenen Woche.
Den Hackern fielen neben E-Mail-Adressen auch die Nutzernamen sowie die Daten der Registrierung eines Kontos und der letzten Anmeldung in die Hände. Von rund einem Drittel der Betroffenen erbeuteten sie zudem gehashte Passwörter (SHA1) mit Salt. Das Hashverfahren SHA1 ohne Salt hatten Google-Forscher Anfang des Jahres erfolgreich ausgehebelt.
„Bisher liegen uns keine Hinweise auf nicht autorisierte Log-ins vor“, teilte Disqus am Freitag mit. Es seien keine Klartext-Passwörter kompromittiert worden. Es sei aber möglich, wenn auch sehr unwahrscheinlich, die Daten zu entschlüsseln. „Als Sicherheitsmaßnahme haben wir die Passwörter aller betroffenen Nutzer zurückgesetzt. Wir empfehlen allen Nutzern, die Passwörter anderer Dienste zu ändern, falls die Passwörter mehrfach verwendet wurden.“
Da die E-Mail-Adressen im Klartext vorlägen, erhielten Betroffene wahrscheinlich künftig mehr Spam und unerwünschte E-Mails. Man gehe allerdings davon aus, dass die Daten nicht allgemein verfügbar seien. Zudem stammten die neuesten Daten aus Juli 2012.
Unabhängig von dem Vorfall habe Disqus zudem schon Ende 2012 den Hashing-Algorithmus auf das auch aktuell als sicher eingestufte Bcrypt-Verfahren umgestellt. Upgrades der Datenbank sowie Verschlüsselung erschwerten zudem Einbrüche und Datendiebstähle.
Hunt lobte indes die schnelle Reaktion von Disqus. „In weniger als 24 Stunden, nachdem sie von dem Einbruch erfahren haben, hat Disqus die gestohlenen Daten geprüft, die Passwörter betroffener Konten zurückgesetzt und eine sehr transparente Pressemitteilung zusammengestellt“, sagte der Sicherheitsforscher im Gespräch mit ZDNet USA. „Das ist ein Goldstandard für eine Reaktion auf einen Sicherheitsvorfall und legt die Latte für andere sehr hoch.“
Disqus-Nutzer können zudem in Troys Datenbank auf der Website „HaveIbeenpawned.com“ prüfen, ob sie von dem Vorfall betroffen sind. Hunt zufolge befinden sich 71 Prozent der E-Mail-Adressen aus der Disqus-Datenbank bereits in der seiner Datenbank mit mehr als 4,7 Milliarden kompromittierten E-Mail-Adressen – sie waren also schon früher das Opfer eines Hackerangriffs.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…