Kommentar-System Disqus gecrackt, Email-Adressen von Nutzern können sichtbar gemacht werden

Das von vielen Bloggern und Webseiten eingesetzte Kommentar-System Disqus weist eine schwere Sicherheitslücke innerhalb der APIs auf. So ist es möglich, dass man sich die MD5-Hashes der Nutzer E-Mail-Adressen beschaffen kann. Diese werden dann per Brute Force mit einer E-Mail-Datenbank abgeglichen. So können den Nutzern Email-Adressen zugeordnet werden. Disqus hat weltweit 50 Millionen Nutzer und wird von 750.000 Webseiten eingesetzt.

disqus

Wer sich übrigens fragt, wo man eine ausreichend große Datenbank mit Email-Adressen herbekommt, einen Anfang könnte man mit den 150 Millionen Email-Adressen aus dem Adobe-Hack im Oktober machen. Da bei Disqus lediglich die Email-Adressen mit den Nutzern in Verbindung gebracht werden, besteht zumindest keine allzu große Gefahr, dass auch Passwörter gefährdet sind. Dennoch unschön, wenn man vielleicht mit etwas in Zusammenhang gebracht werden könnte, das man eigentlich als anonyme Meinung hinterlassen hat.

Danke an Sergej Müller!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

19 Kommentare

  1. Mit Sicherheit haben die’s allgemein nicht wirklich. Wenn man sich per OpenID mit Google registrieren will, wird danach trotzdem noch ein lokales Konto bei Disqus angelegt…

  2. Etienne Kundt says:

    Oh nein :/

  3. Ist das wirklich ein Fehler?!
    Man kann doch z.B. hier im Blog auch anhand des Gravatars die MD5-Werte auslesen…

  4. lol, wenn ich eine anonyme Meinung hinterlasse, dann logischer Weise auch mit einer Zufalls-Mail-Adresse z.B. laskfjasldfkjasf@gmx.de

  5. Das Frage ist wohl Ehebruch eher warum beim Hashen kein Salt verwendet wird um die ganzen Rainbow-Tables nutzlos zu machen?

  6. Die Frage ist wohl Ehebruch eher warum beim Hashen kein Salt verwendet wird um die ganzen Rainbow-Tables nutzlos zu machen?

  7. Ich finde es immer wieder schön, wenn ich in meinen Entscheidungen bestätigt werde. So beispielsweise auch wieder die Entscheidung, kein Disqus in mein Blog einzupflegen und Kommentare ganz klassisch zu speichern. Ist ja auch nicht so schwer – Name, Mail, Homepage eintragen und fertig. Disqus hat mich nie gereizt.

    Allen, die das hier lesen, empfehle ich das KISS-Prinzip. Je einfacher die Systeme, die man einsetzt, desto weniger Fehler können auftreten.

  8. @NoName: „Avatar-System Gravatar gecrackt, Email-Adressen von Nutzern können sichtbar gemacht werden“ =)

  9. @Luca Bei dir besteht das selbe Problem im Blog 😉

    @Johann Ja, es gab schon Berichte dazu…

  10. Namenlos, weil Cookies gelöscht... says:

    Bruteforcen is also cracken…. hier lernt man ja ständig dazu.

  11. Genausogut könnte man schreiben: „Kommentar-System Caschys Blog gecrackt, Email-Adressen von Nutzern können sichtbar gemacht werden“. Wegen Gravatar. Was für eine Schwachsinns-Headline.

  12. Nicht anonym. Wenn Du einen Disqus-Account/Session einrichtest, ist das im Prinzip pseudonym. Disqus kommt übrigens – wenn man auf die tollen Bildchen verzichtet – bestens mit Trash-Adressen aus. Ich benutze seit Jahren die offiziellen IANA-Domains wie example.com oder foo.example für diesen Zweck.

  13. > „Bruteforcen is also cracken“

    Im Wortsinne, dass „cracken“ „böses“ Hacking ist, ja. Selbst Social Engineering ist eine Form des Hackens. Btw. wo es jetzt Bruteforce ist, eine Datenmenge mit einer anderen abzugleichen ist mir schleierhaft.

  14. Ist das noch nicht angekommen, MD5 ist nicht „sicher“. Salzen und Pfeffern ist angesagt, alle größeren CMSysteme salzen ihre Hashes.

  15. Und wer um alles in der Welt hasht heut noch mit md5???

  16. Verstehe den Umweg über Discus nicht. Wofür?
    Wenn ich http://www.gravatar.com/avatar/„.md5(strtolower(($email)) rufe und nicht das graue Männchen sehe, habe ich doch auch eine Mailadresse, die bei Gravatar/Disqus/Wordpress.com etc genutzt wird.
    Liefert mit die Disqus-API-Lücke mehr?