Der schwedischen Firma Researchgruppen sei es gelungen, Disqus-Nutzer über deren E-Mail-Adressen zu identifizieren, berichtet das schwedische Blog "Cornucopia?". Die Sicherheitsexperten haben dabei demnach mit der schwedischen Boulevard-Zeitung "Expressen" zusammengearbeitet, die nachweisen wollte, dass schwedische Politiker auf Hate-Speech-Seiten kommentieren.
Bei dem Hack wurde eine Schwachstelle in der Disqus-API benutzt, über die sich MD5-Hashes von Nutzer-E-Mail-Adressen abgreifen lassen. Diese Hashes wurden anschließend brute force gegen eine Datenbank mit E-Mail-Adressen abgeglichen.
.@researchgruppen Exempel: https://t.co/WEmJSk7kH8 ? c185522a707e00cbac6d561b5de87676 == MD5(min epostadress)
— David Remahl (@chmod007) 10. Dezember 2013Laut Wikipedia hat Disqus weltweit mehr als 50 Millionen registrierte Nutzer und wird von mehr als 750.000 Medien-Websites und Blogs verwendet. Das Kommentarsystem ist auch auf www.computerwoche.de und anderen Webseiten von IDG Deutschland im Einsatz.