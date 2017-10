Der Foren-Dienstleister Disqus hat einen Hackerangriff auf seine Nutzerdatenbank bestätigt. Der Vorfall ereignete sich 2012, Daten von 17,5 Millionen Nutzern sind im Umlauf.

Disqus-Hack: 17,5 Millionen Nutzer betroffen

Der Australier Troy Hunt, der die Website „Have I Been Pwned“ betreibt, hat Disqus am Donnerstag über einen Hack der Nutzerdatenbank des Foren-Dienstleisters informiert. Demnach sollen E-Mail-Adressen, Nutzernamen und Login-Zeitpunkte von 17,5 Millionen Disqus-Nutzern im Umlauf sein. Auch – verschlüsselte – Passwörter von rund einem Drittel der betroffenen Nutzer haben sich offenbar in der entwendeten Datenbank befunden.

Disqus-Nutzer sollten prüfen, ob ihre E-Mail-Adresse geklaut wurde – und gegebenenfalls Passwörter ändern. (Screenshot: haveibeenpwned.com/t3n.de)

Der Vorfall soll sich schon 2012 ereignet haben und ist seit diesem Zeitpunkt unentdeckt geblieben. Disqus hat den Hackerangriff derweil bestätigt und informiert seine Nutzer seit Freitag in einem Blogpost darüber. Außerdem hat Disqus laut eigenen Angaben damit begonnen, betroffene Nutzer direkt zu kontaktieren und Passwörter zurückzusetzen.

Aktuell habe es noch keine unautorisierten Logins gegeben, versicherte das Unternehmen. Auch, dass die per SHA1 mit Salt gehashten Passwörter entschlüsselt werden könnten, sei zwar möglich, aber nicht wahrscheinlich. Dennoch empfiehlt Disqus allen Nutzern, die Passwörter anderer Dienste zu ändern, falls Nutzer diese mehrfach verwendet hätten. Ab 2012 hat Disqus übrigens den Hashing-Algorithmus auf das sicherere Bcrypt-Verfahren umgestellt.

Anzeige

Disqus-Nutzer: E-Mail-Adresse prüfen und Passwörter ändern

Sicherheitsforscher Hunt lobte übrigens gegenüber dem Online-Newsdienst ZDNet die schnelle Reaktion von Disqus sowie den transparenten Umgang mit dem Vorfall. Ob Disqus-Nutzer von dem Hack betroffen sind, können sie auf haveibeenpwned.com prüfen. Hunt zufolge sollen fast drei Viertel (71 Prozent) der in der gehackten Disqus-Datenbank enthaltenen E-Mail-Adressen schon in seiner Sammlung kompromittierter Adressen enthalten sein. Die Nutzerdaten wurden also schon bei früheren Hackerangriffen entwendet.

Mehr zum Thema: