Kommentar-System Disqus gecrackt, Email-Adressen von Nutzern können sichtbar gemacht werden

10. Dezember 2013 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Das von vielen Bloggern und Webseiten eingesetzte Kommentar-System Disqus weist eine schwere Sicherheitslücke innerhalb der APIs auf. So ist es möglich, dass man sich die MD5-Hashes der Nutzer E-Mail-Adressen beschaffen kann. Diese werden dann per Brute Force mit einer E-Mail-Datenbank abgeglichen. So können den Nutzern Email-Adressen zugeordnet werden. Disqus hat weltweit 50 Millionen Nutzer und wird von 750.000 Webseiten eingesetzt.

disqus

Wer sich übrigens fragt, wo man eine ausreichend große Datenbank mit Email-Adressen herbekommt, einen Anfang könnte man mit den 150 Millionen Email-Adressen aus dem Adobe-Hack im Oktober machen. Da bei Disqus lediglich die Email-Adressen mit den Nutzern in Verbindung gebracht werden, besteht zumindest keine allzu große Gefahr, dass auch Passwörter gefährdet sind. Dennoch unschön, wenn man vielleicht mit etwas in Zusammenhang gebracht werden könnte, das man eigentlich als anonyme Meinung hinterlassen hat.

Danke an Sergej Müller!



Quelle: Cornucopia |
Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7068 Artikel geschrieben.

19 Kommentare

Sibbl 10. Dezember 2013 um 12:25 Uhr

Mit Sicherheit haben die’s allgemein nicht wirklich. Wenn man sich per OpenID mit Google registrieren will, wird danach trotzdem noch ein lokales Konto bei Disqus angelegt…

Etienne Kundt 10. Dezember 2013 um 12:30 Uhr

Oh nein :/

NoName 10. Dezember 2013 um 12:36 Uhr

Ist das wirklich ein Fehler?!
Man kann doch z.B. hier im Blog auch anhand des Gravatars die MD5-Werte auslesen…

sole 10. Dezember 2013 um 12:51 Uhr

lol, wenn ich eine anonyme Meinung hinterlasse, dann logischer Weise auch mit einer Zufalls-Mail-Adresse z.B. laskfjasldfkjasf@gmx.de

Basti 10. Dezember 2013 um 13:32 Uhr

Das Frage ist wohl Ehebruch eher warum beim Hashen kein Salt verwendet wird um die ganzen Rainbow-Tables nutzlos zu machen?

Basti 10. Dezember 2013 um 13:32 Uhr

Die Frage ist wohl Ehebruch eher warum beim Hashen kein Salt verwendet wird um die ganzen Rainbow-Tables nutzlos zu machen?

Luca 10. Dezember 2013 um 13:42 Uhr

Ich finde es immer wieder schön, wenn ich in meinen Entscheidungen bestätigt werde. So beispielsweise auch wieder die Entscheidung, kein Disqus in mein Blog einzupflegen und Kommentare ganz klassisch zu speichern. Ist ja auch nicht so schwer – Name, Mail, Homepage eintragen und fertig. Disqus hat mich nie gereizt.

Allen, die das hier lesen, empfehle ich das KISS-Prinzip. Je einfacher die Systeme, die man einsetzt, desto weniger Fehler können auftreten.

Johann 10. Dezember 2013 um 14:06 Uhr

@NoName: „Avatar-System Gravatar gecrackt, Email-Adressen von Nutzern können sichtbar gemacht werden“ =)

NoName 10. Dezember 2013 um 14:34 Uhr

@Luca Bei dir besteht das selbe Problem im Blog 😉

@Johann Ja, es gab schon Berichte dazu…

Namenlos, weil Cookies gelöscht... 10. Dezember 2013 um 15:35 Uhr

Bruteforcen is also cracken…. hier lernt man ja ständig dazu.

Daniel 10. Dezember 2013 um 16:05 Uhr

Genausogut könnte man schreiben: „Kommentar-System Caschys Blog gecrackt, Email-Adressen von Nutzern können sichtbar gemacht werden“. Wegen Gravatar. Was für eine Schwachsinns-Headline.

nk 10. Dezember 2013 um 16:17 Uhr

Nicht anonym. Wenn Du einen Disqus-Account/Session einrichtest, ist das im Prinzip pseudonym. Disqus kommt übrigens – wenn man auf die tollen Bildchen verzichtet – bestens mit Trash-Adressen aus. Ich benutze seit Jahren die offiziellen IANA-Domains wie example.com oder foo.example für diesen Zweck.

nk 10. Dezember 2013 um 16:21 Uhr

> „Bruteforcen is also cracken“

Im Wortsinne, dass „cracken“ „böses“ Hacking ist, ja. Selbst Social Engineering ist eine Form des Hackens. Btw. wo es jetzt Bruteforce ist, eine Datenmenge mit einer anderen abzugleichen ist mir schleierhaft.

Roman 10. Dezember 2013 um 16:54 Uhr

Ist das noch nicht angekommen, MD5 ist nicht „sicher“. Salzen und Pfeffern ist angesagt, alle größeren CMSysteme salzen ihre Hashes.

thomi 11. Dezember 2013 um 09:36 Uhr

Und wer um alles in der Welt hasht heut noch mit md5???

Karsten 11. Dezember 2013 um 11:59 Uhr

Verstehe den Umweg über Discus nicht. Wofür?
Wenn ich http://www.gravatar.com/avatar/„.md5(strtolower(($email)) rufe und nicht das graue Männchen sehe, habe ich doch auch eine Mailadresse, die bei Gravatar/Disqus/Wordpress.com etc genutzt wird.
Liefert mit die Disqus-API-Lücke mehr?




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.