Disqus: Kommentarsystem meldet Daten-Klau

Na, auch schon mal auf Webseiten kommentiert, die das Kommentarsystem von Disqus einsetzen und vielleicht bei „Have i been pwned“ eine E-Mail-Benachrichtigung aktiviert, wenn ein neuer Daten-Missbrauch stattgefunden hat? Dann solltet ihr auch E-Mail bekommen haben, denn Disqus hat einen Zugriff auf die Nutzerdaten durch Dritte einräumen müssen. Laut Disqus habe man den Zugriff am 5. Oktober bemerkt, betroffen war hier eine von 2007 bis 2012 genutzte Datenbank, die E-Mail-Adressen, Disqus-Benutzernamen, Anmeldedaten und Datum der letzten Anmeldung im Klartext für rund 17,5 Millionen Benutzer enthielt.

Für ein Drittel der Nutzer wurden auch die Passwörter verwendet, diese waren aber nicht im Klartext vorliegend, sondern gehashed und salted mit SHA1. Für betroffene Nutzer hat man die Passwörter zurückgesetzt und diese über den Sicherheitsvorfall in Kenntnis gesetzt. Mittlerweile setzt Disqus für den Passwort-Algorithmus nicht mehr auf SHA1, sondern auf bcrypt. Trotz der Entwendung verschlüsselter Passwörter empfiehlt man, etwaige identische Passwörter bei anderen Diensten zu ändern, sofern dort die gleiche Kombination genutzt wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

6 Kommentare

  1. Irgendwann trifft es jeden Service oder Webseite…

  2. Irgendwie hat man nur noch lust alle nicht notwendigen Dienste selfhosten zu müssen um wirklich weniger Angriffsfläche zu bieten :/

  3. Zum Glück benutze ich in Foren, und bei solchen Diensten andere Passwörter als bei wirklich wichtigen Diensten.

  4. Wie sieht es bei sowetas eigentlich aus, wenn man sich Über Google angemeldet hat? Sind die Passwörter da auch weg oder läuft die Anmeldung dann komplett über Google?

  5. @Eric: Google gibt dein PW nicht raus, sondern meldet nur eine Referenz zurück, falls du dich erfolgreich an deinem Google-Konto authentifiziert hast. Vgl. auch den Hinweis bei Have I been pwned: „Users who created logins on Disqus had salted SHA1 hashes of passwords whilst users who logged in via social providers only had references to those accounts.“

  6. @Prov94

    Damit machst du dich am Ende auch nur zur Zielscheibe.

    @Eric

    Man sollte generell für jede Webseite und jeden Dienst ein eigenes, starkes Passwort wählen. Ich habe auf keiner einzigen Seite ein Passwort, das ich auf einer anderen schon mal verwendet habe. Jeder Dienst und jede Webseite bekommt ein eigenes starkes Passwort, um zu verhindern, dass der Klau eines Passwortes dazu führt, dass der Dieb Zugriff auf alle anderen Informationen von mir bekommt.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.