Nutzer-Mail-Adressen auslesbar

Sicherheitslücke im Kommentarsystem Disqus

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Schwedische Experten haben eine gravierende Sicherheitslücke im populären gehosteten Kommentarsystem Disqus entdeckt.

Der schwedischen Firma Researchgruppen sei es gelungen, Disqus-Nutzer über deren E-Mail-Adressen zu identifizieren, berichtet das schwedische Blog "Cornucopia?". Die Sicherheitsexperten haben dabei demnach mit der schwedischen Boulevard-Zeitung "Expressen" zusammengearbeitet, die nachweisen wollte, dass schwedische Politiker auf Hate-Speech-Seiten kommentieren.

Bei dem Hack wurde eine Schwachstelle in der Disqus-API benutzt, über die sich MD5-Hashes von Nutzer-E-Mail-Adressen abgreifen lassen. Diese Hashes wurden anschließend brute force gegen eine Datenbank mit E-Mail-Adressen abgeglichen.

Laut Wikipedia hat Disqus weltweit mehr als 50 Millionen registrierte Nutzer und wird von mehr als 750.000 Medien-Websites und Blogs verwendet. Das Kommentarsystem ist auch auf www.computerwoche.de und anderen Webseiten von IDG Deutschland im Einsatz.