Disqus: Kommentarsystem meldet Daten-Klau

7. Oktober 2017 Kategorie: Backup & Security, geschrieben von: caschy

Na, auch schon mal auf Webseiten kommentiert, die das Kommentarsystem von Disqus einsetzen und vielleicht bei „Have i been pwned“ eine E-Mail-Benachrichtigung aktiviert, wenn ein neuer Daten-Missbrauch stattgefunden hat? Dann solltet ihr auch E-Mail bekommen haben, denn Disqus hat einen Zugriff auf die Nutzerdaten durch Dritte einräumen müssen. Laut Disqus habe man den Zugriff am 5. Oktober bemerkt, betroffen war hier eine von 2007 bis 2012 genutzte Datenbank, die E-Mail-Adressen, Disqus-Benutzernamen, Anmeldedaten und Datum der letzten Anmeldung im Klartext für rund 17,5 Millionen Benutzer enthielt.

Für ein Drittel der Nutzer wurden auch die Passwörter verwendet, diese waren aber nicht im Klartext vorliegend, sondern gehashed und salted mit SHA1. Für betroffene Nutzer hat man die Passwörter zurückgesetzt und diese über den Sicherheitsvorfall in Kenntnis gesetzt. Mittlerweile setzt Disqus für den Passwort-Algorithmus nicht mehr auf SHA1, sondern auf bcrypt. Trotz der Entwendung verschlüsselter Passwörter empfiehlt man, etwaige identische Passwörter bei anderen Diensten zu ändern, sofern dort die gleiche Kombination genutzt wird.


Über den Autor: caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25303 Artikel geschrieben.