Disqus: Kommentarsystem meldet Daten-Klau

Na, auch schon mal auf Webseiten kommentiert, die das Kommentarsystem von Disqus einsetzen und vielleicht bei „Have i been pwned“ eine E-Mail-Benachrichtigung aktiviert, wenn ein neuer Daten-Missbrauch stattgefunden hat? Dann solltet ihr auch E-Mail bekommen haben, denn Disqus hat einen Zugriff auf die Nutzerdaten durch Dritte einräumen müssen. Laut Disqus habe man den Zugriff am 5. Oktober bemerkt, betroffen war hier eine von 2007 bis 2012 genutzte Datenbank, die E-Mail-Adressen, Disqus-Benutzernamen, Anmeldedaten und Datum der letzten Anmeldung im Klartext für rund 17,5 Millionen Benutzer enthielt.

Für ein Drittel der Nutzer wurden auch die Passwörter verwendet, diese waren aber nicht im Klartext vorliegend, sondern gehashed und salted mit SHA1. Für betroffene Nutzer hat man die Passwörter zurückgesetzt und diese über den Sicherheitsvorfall in Kenntnis gesetzt. Mittlerweile setzt Disqus für den Passwort-Algorithmus nicht mehr auf SHA1, sondern auf bcrypt. Trotz der Entwendung verschlüsselter Passwörter empfiehlt man, etwaige identische Passwörter bei anderen Diensten zu ändern, sofern dort die gleiche Kombination genutzt wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

6 Kommentare

  1. Irgendwann trifft es jeden Service oder Webseite…

  2. Irgendwie hat man nur noch lust alle nicht notwendigen Dienste selfhosten zu müssen um wirklich weniger Angriffsfläche zu bieten :/

  3. Zum Glück benutze ich in Foren, und bei solchen Diensten andere Passwörter als bei wirklich wichtigen Diensten.

  4. Wie sieht es bei sowetas eigentlich aus, wenn man sich Über Google angemeldet hat? Sind die Passwörter da auch weg oder läuft die Anmeldung dann komplett über Google?

  5. @Eric: Google gibt dein PW nicht raus, sondern meldet nur eine Referenz zurück, falls du dich erfolgreich an deinem Google-Konto authentifiziert hast. Vgl. auch den Hinweis bei Have I been pwned: „Users who created logins on Disqus had salted SHA1 hashes of passwords whilst users who logged in via social providers only had references to those accounts.“

  6. @Prov94

    Damit machst du dich am Ende auch nur zur Zielscheibe.

    @Eric

    Man sollte generell für jede Webseite und jeden Dienst ein eigenes, starkes Passwort wählen. Ich habe auf keiner einzigen Seite ein Passwort, das ich auf einer anderen schon mal verwendet habe. Jeder Dienst und jede Webseite bekommt ein eigenes starkes Passwort, um zu verhindern, dass der Klau eines Passwortes dazu führt, dass der Dieb Zugriff auf alle anderen Informationen von mir bekommt.

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.