Ich habe immer schon meine Probleme mit dem Kommentar- und Diskussionsplattform-Service Disqus gehabt. Nun wurde bekannt, dass der Dienst angegriffen wurde. Meiner Ansicht nach war das nur eine Frage der Zeit, bis genau das passierte. In meinen Augen ist der Service unsicher. Und wenn wir mal ehrlich sind, es ist aus Sicht von Webseiten und Lesern immer ein Drittanbieter. Eine dritte Macht, das muss niemals sein. Nun unterhalten wir uns also über diesen Hackerangriff.
Wer oder was ist Disqus? Und wenn ja, wie viele?
Der Dienst bietet die Möglichkeit für Webseiten-Betreiber, die Kommentare auszulagern. Eine gute Sache eigentlich, weil Webseiten heutzutage auf Datenbanken aufgebaut sind. Und die Kommentare werden wie alles andere auch in dieser Datenbank gespeichert. Lagert man die Kommentare aus, dann entlastet man die Datenbank. Wer als Leser kommentieren will, nutzt einfach seinen Account aus den sozialen Netzwerken und kann drauflos schreiben.
Um die Plattform weiter zu realisieren, sammelte man 2011 Risikokapital bei Hedgefonds ein. Dennoch kam es immer wieder zu Pannen. Mal abgesehen davon, dass die Daten europäischer Nutzer in die USA transferiert werden. Aber bereits 2013 verschafften sich Angreifer Zugriff auf Nutzerdaten. So wurden die Identitäten von etlichen Nutzern eingesammelt. Und das betraf unter anderem auch Nutzern von CNN, dem Daily Telegraph, MobileGeeks und so weiter und so fort. Etliche Millionen registrierte Nutzer mit Disqus-Account gibt es schließlich.
Millionen Disqus-Nutzeraccounts erbeutet
Jetzt muss ja niemand mit seinem Facebook- oder Twitter-Konto kommentieren. Jeder kann sich ja auch einen Account bei Disqus selbst anlegen. Und diese Nutzeraccounts wurden bei einem Hackerangriff erbeutet. Wir reden hier von 17,5 Millionen Nutzerkonten. Es ist wie immer der komplette Datensatz pro Nutzer, also inklusive Passwort. Das ist zwar verschlüsselt, aber das Verfahren SHA-1 gilt seit längerem nicht mehr als zuverlässig. Es gab nach dem Vorfall keine Hinweise auf unerlaubte Logins. Aber man weiß ja nie.
Der Vorfall ereignete sich bereits 2012. Vor fünf Jahren hatte allerdings Disqus die Nutzer gleich informiert, als das Alles bekannt wurde. Ich habe davon nie etwas mitbekommen. Wie dem auch sei. Es ist einfach unmöglich für Betreiber von Webseiten, Disqus datenschutzkonform einzusetzen. Einerseits verfolgt der Dienst die Nutzer, andererseits werden die Daten für Werbezwecke ausgewertet. Anfang des Jahres war die Rede davon, dass Disqus Werbung schalten wollte.
Es ist fragwürdig, wie der Dienst arbeitet. Es kommen immer wieder Meldungen hoch, dass der Datenschutz nicht gewährleistet wurde oder Daten abhanden gekommen sind. Darum kann niemand ernsthaft Disqus im Einsatz haben. Inwieweit die Probleme behoben wurden, kann kein Mensch wirklich einschätzen. Hoffen wir mal, dass die Daten nicht in falsche Hände geraten sind. Vielleicht sollten Disqus-Nutzer einfach mal ihre Zugangsdaten aktualisieren. Schaden kann es nicht.