Auf diesem bescheidenen Blog werden die Kommentare über Disqus ermöglicht. Der Dienst steht in einer Basisvariante1 kostenlos zur Verfügung und verrichtet in aller Regel ausgesprochen zuverlässig seinen Dienst.
Nun vermeldete das Unternehmen am 5. Oktober 2017 in einem Blogpost, dass bereits 20122 ein Snapshot der Userdatenbank mit 17,5 Millionen Einträgen abhanden gekommen ist.
Das ist natürlich doof.
Mehr dazu ist im Detail und deutschsprachig bei Tante Heise nachzulesen. Es läuft aber darauf hinaus, dass damals Benutzernamen, E-Mail-Adressen, Passwörter sowie der Zeitpunkt der Anmeldung und des letzten Logins aus der Userdatenbank stiften gingen.
Die Passwörter waren nicht im Klartext sonder als SHA1-Hash mit Salt gespeichert. Das ist wesentlich besser aber heutzutage auch nicht gerade gut…
Die Empfehlung für mich und jeden anderen Disqus-User der bereits 2012 dabei war lautet also3:
- Das Passwort bei Disqus ändern4.
- Sollte dasselbe Passwort auch anderswo eingesetzt sein5, so sollte es anderswo schnellstens ebenfalls geändert werden.
Die Empfehlung für mich und jeden anderen Disqus-Embed-Betreiber lautet nun wohl mal so langsam:
Damit hätte ich mich dann auch eines weiteren externen, zentralisierten Dienstes entledigt und das ist ja auch oft eine sehr gute Sache. Ich halte euch in dieser Sache auf dem laufenden…
(via: Schockwellenreiter)
-
Und mehr benötige ich hier eigentlich auch nicht…↩
-
Ja, das ist, Stand jetzt, fünf Jahre her…↩
-
Wie eigentlich fast immer in solchen Fällen…↩
-
Disqus forciert das bei allen betroffenen Usern von sich aus…↩
-
Das ist eine Sehr Schlechte Idee™…↩
-
Und befindet sich auch schon seit November 2013 in meinen Bookmarks…↩