Der Anbieter des gleichnamigen Kommentar-Tools für Foren und News-Sites, Disqus, musste jetzt einen erfolgreichen Hackerangriff einräumen. Dabei ereignete sich der Vorfall schon vor fünf Jahren im Juli 2012. Ein extrem später Alarm also…

Seinerzeit erbeuteten die unbekannten Täter die Daten von fast 18 Millionen Nutzern. Das Unternehmen hat angeblich von dem Datenverlust nach eigenen Angaben erst in der vergangenen Woche erfahren.

Nach einem Blogeintrag wurde Disqus letzten Donnerstag vom Sicherheitsforscher Troy Hunt kontaktiert, der auch die Website „Have I been pwned“ betreibt. Dem Australier liegt offenbar eine Kopie der gestohlenen Daten vor, die er Disqus jetzt zur Prüfung übermittelte. Seit Freitag informiert Disqus nun die betroffenen Nutzer und fordert sie auf, ihre Kennwörter zurückzusetzen.

Wer die Email-Benachrichtigung bei haveibeenpwned.com aktiviert hat, dürfte jetzt Post von dem Warndienst erhalten.

Von einem Drittel der Nutzer wurden auch die Passwörter entwendet, diese aber nicht im Klartext vorlagen, sondern mit SHA1 gehashed und salted waren.

Die Passwörter betroffener Nutzer hat Disqus zurückgesetzt und diese über den Sicherheitsvorfall in Kenntnis gesetzt. Inzwischen setzt Disqus für den Passwort-Algorithmus nicht mehr auf das knackbare SHA1, sondern auf das (noch) sichere bcrypt. Obwohl die gestohlenen Passwörter verschlüsselt waren, empfiehlt man, etwaige identische Zugangsdaten bei anderen Diensten zu ändern, wenn dort dieselbe Kombination genutzt wird.