Foren-Tool Disqus bestätigt Hackerangriff

Disqus, Anbieter des gleichnamigen Kommentar-Tools für Foren und News-Sites, hat einen Hackerangriff eingeräumt. Der Vorfall ereignete sich bereits im Juli 2012. Die unbekannten Täter erbeuteten Daten von mehr als 17,5 Millionen Nutzern. Erfahren hat das Unternehmen von dem Datenverlust nach eigenen Angaben erst in der vergangenen Woche.

Einem Blogeintrag zufolge wurde Disqus letzten Donnerstag vom Sicherheitsforscher Troy Hunt kontaktiert, der die Website „Have I been pwned“ betreibt. Dem Australier liegt offenbar eine Kopie der gestohlenen Daten vor, die er Disqus zur Prüfung übermittelte. Seit Freitag informiert Disqus nun nach eigenen Angaben die betroffenen Nutzer und fordert sie zum Zurücksetzen ihrer Kennwörter auf.

Den Hackern fielen neben E-Mail-Adressen auch die Nutzernamen sowie die Daten der Registrierung eines Kontos und der letzten Anmeldung in die Hände. Von rund einem Drittel der Betroffenen erbeuteten sie zudem gehashte Passwörter (SHA1) mit Salt. Das Hashverfahren SHA1 ohne Salt hatten Google-Forscher Anfang des Jahres erfolgreich ausgehebelt.

„Bisher liegen uns keine Hinweise auf nicht autorisierte Log-ins vor“, teilte Disqus am Freitag mit. Es seien keine Klartext-Passwörter kompromittiert worden. Es sei aber möglich, wenn auch sehr unwahrscheinlich, die Daten zu entschlüsseln. „Als Sicherheitsmaßnahme haben wir die Passwörter aller betroffenen Nutzer zurückgesetzt. Wir empfehlen allen Nutzern, die Passwörter anderer Dienste zu ändern, falls die Passwörter mehrfach verwendet wurden.“

Da die E-Mail-Adressen im Klartext vorlägen, erhielten Betroffene wahrscheinlich künftig mehr Spam und unerwünschte E-Mails. Man gehe allerdings davon aus, dass die Daten nicht allgemein verfügbar seien. Zudem stammten die neuesten Daten aus Juli 2012.

Unabhängig von dem Vorfall habe Disqus zudem schon Ende 2012 den Hashing-Algorithmus auf das auch aktuell als sicher eingestufte Bcrypt-Verfahren umgestellt. Upgrades der Datenbank sowie Verschlüsselung erschwerten zudem Einbrüche und Datendiebstähle.

Hunt lobte indes die schnelle Reaktion von Disqus. „In weniger als 24 Stunden, nachdem sie von dem Einbruch erfahren haben, hat Disqus die gestohlenen Daten geprüft, die Passwörter betroffener Konten zurückgesetzt und eine sehr transparente Pressemitteilung zusammengestellt“, sagte der Sicherheitsforscher im Gespräch mit ZDNet USA. „Das ist ein Goldstandard für eine Reaktion auf einen Sicherheitsvorfall und legt die Latte für andere sehr hoch.“

Disqus-Nutzer können zudem in Troys Datenbank auf der Website „HaveIbeenpawned.com“ prüfen, ob sie von dem Vorfall betroffen sind. Hunt zufolge befinden sich 71 Prozent der E-Mail-Adressen aus der Disqus-Datenbank bereits in der seiner Datenbank mit mehr als 4,7 Milliarden kompromittierten E-Mail-Adressen – sie waren also schon früher das Opfer eines Hackerangriffs.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.