Allgemein Sicherheit

Schwedische Forscher nutzen Disqus um rechtsradikale Kommentare von Politikern zu enttarnen

Offensichtlich hat ein Satz schwedischer Hacker/Sicherheitsforscher zusammen mit einem Tabloid eine Schwachstelle in der API Diskussionsystem Disqus (das auch ich hier verwende) gefunden. Damit können sie die MD5-Hashes hinterlegter E-Mails herausziehen. Lässt man diese dann gegen eine Datenbank bekannter E-Mail-Adressen laufen (etwa die 150 Millionen, die Adobe letztens verloren hat), kann man einzelne Adressen zurückrechnen und so herausfinden, wer was in Disqus geschrieben hat. Soweit die Meldung.

Interessant ist, warum sie das gemacht haben: Die Forscher wollten (zusammen mit dem Tabloid) Politiker konservativer Parteien enttarnen, die auf ultra-rechten Webseiten kommentiert haben (und waren da wohl recht erfolgreich).

Negativer Nebeneffekt: Die bei Disqus hinterlegten E-Mail-Adressen können nicht mehr als anonym gelten (wobei das bei einem Kommentarsystem, dessen Zweck es ist, dass ihr auf unterschiedlichen Seiten mit dem gleichen Profil  bekannt seid, eh etwas zweitrangig ist).

Mein Tipp: Legt euch mehrere E-Mails zu, ein paar zum Kommentieren und für Newsletter/Foren, eine oder zwei für die „echte“ Kommunikation.

Ich sehe hier keinen großen Sicherheitszwischenfall, ganz ehrlich. Spammer können die MD5-Hashes nicht gebrauchen, da man eben eine E-Mail braucht, um die Disqus-Mail erkennen zu können. Hier bei mir sind ja glücklicherweise alle Kommentatoren sehr zivilisiert (danke dafür), insofern glaube ich auch nicht, dass jemand Probleme kriegen könnte.

Ich werde die Diskussion und vor allem die Antwort von Disqus im Auge behalten. Ehrlich gesagt würde ich das System gerne weiternutzen. Ich habe es seit deren Beta laufen und eigentlich habe ich recht gute Erfahrungen gemacht, vor allem das Thema Spam ist seitdem quasi nicht mehr existent.  Was meint ihr?

Über den Autor

Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

2 Kommentare

Hier klicken um zu kommentieren

  • Mir is Disqus suspekt. War es aber schon vorher. Weiß nicht warum.
    Direkt stören tut es mich aber nicht. Wenn du es weiter nutzen willst, wird’s mich nicht vergraulen.

Werbung

Archive

banner