Das Kommentar-System Disqus wurde gehackt

Thaddeus Herrmann
Das Kommentar-System Disqus wurde gehackt


Kommentare auf Webseiten zu managen, ist Sisyphos-Arbeit, die Systeme sind offene Scheunentore für Spammer einerseits, andererseits nimmt das Lesen und etwaige Löschen von unangemessenen Beiträgen viel Zeit in Anspruch. Ein Grund dafür, warum viele Betreiber von Seiten und Foren genau diesen Teil der Arbeit auslagern an externe Dienstleister, zum Beispiel an Disqus, einem System, das sich unproblematisch in Webseiten einbinden lässt. User registrieren sich einmal beim Anbieter und können mit diesem Login dann auf allen Seiten kommentieren, die das System nutzen. So lange, bis etwas schief geht.

Bei Disqus, einem dieser Anbieter, kam es bereits 2012 zu einem Hacker-Angriff, bei dem die Informationen von rund 17,5 Millionen Kunden kompromittiert wurden: E-Mail-Adressen und Passworte sind betroffen.

Erst Ende vergangener Woche hat Disqus über den Vorfall informiert. Hier sollte nichts verschleiert oder kaschiert werden – der Anbieter wurde erst am 5. Oktober über den Datenklau in Kenntnis gesetzt. 2012 habe man Passwörter noch als SHA1-Hash mit Salt gespeichert, erst Ende des gleichen Jahres habe man auf bcrypt umgestellt, weil das ursprüngliche Verfahren als nicht mehr sicher eingeschätzt wurde. Wer also schon seit 2012 mit disqus im Netz unterwegs ist, hat unter Umständen ein Problem. Alle betroffenen User seien informiert und die Passwörter zurückgesetzt worden, heißt es in einem Blog-Eintrag bei disqus. Diese Kunden sind nun gezwungen, ein neues Passwort zu hinterlegen.

Wer sich in diesem Zusammenhang wundert, warum auf unserer Webseite aktuell keine Möglichkeit besteht, Postings zu kommentieren: Das bis vor wenigen Monaten implementierte System wurde abgeschaltet und bis dato durch kein - hoffentlich! - besseres ersetzt. Wie heißt es im Tech-Journalismus oft genug: developing.

Disqus