Sicherheitsleck im Kommentarsystem Disqus kann Nutzer-Mail-Adressen auslesen

Der schwedischen Firma Researchgruppen sei es gelungen, Disqus-Nutzer über deren E-Mail-Adressen zu identifizieren, berichtet das schwedische Blog "Cornucopia?". Die Sicherheitsexperten haben dabei demnach mit der schwedischen Boulevard-Zeitung "Expressen" zusammengearbeitet, die nachweisen wollte, dass schwedische Politiker auf Hate-Speech-Seiten kommentieren.

Bei dem Hack wurde eine Schwachstelle in der Disqus-API benutzt, über die sich MD5-Hashes von Nutzer-E-Mail-Adressen abgreifen lassen. Diese Hashes wurden anschließend brute force gegen eine Datenbank mit E-Mail-Adressen abgeglichen.

Laut Wikipedia hat Disqus weltweit mehr als 50 Millionen registrierte Nutzer und wird von mehr als 750.000 Medien-Websites und Blogs verwendet. (hal)