På tisdagen inledde Expressen och nätverket Researchgruppen en artikelserie om vilka som står bakom rasistiska och hatfyllda kommentarer på sajterna Avpixlat, Fria Tider och Exponerat. Kopplingen mellan kommentarerna och personerna har gjorts genom att kommentatorernas epostadresser kunnat fås fram från tjänsten Disqus, som används för sajternas kommentarsfält.

Kort efter granskningen blev offentlig spreds uppgifter om att epostadresserna kommits över genom att Disqus hackats. Det tillbakavisar nu Disqus. I stället säger företaget att den eller de som fått tag i adresserna använt ett api som är tänkt för tredjepartsleverantörer.

Disqus använder tredjepartstjänsten Gravatar för att användarna ska kunna ladda upp egna profilbilder. Ett Disqus-api hämtar profilbilderna från Gravatar genom att använda kommentatorernas epostadresser, hashade. En hashad adress är en kryptografisk representation av resultatet av en algoritm som körs gentemot epostadressen. Exempelvis skulle adressen "cs@idg.se" få hashen "928df69a8cb81a02bcf52ee27f199679".

Genom att samla in användarnamn och sedan pinga api:et har det varit möjligt att få fram de hashade adresserna. Därefter har man sedan kunnat jämföra listan med en befintlig lista över epostadresser, alternativt på kryptografisk väg kunnat omvandla hasharna till klartext. En konversation på Twitter ger vid handen att det är den sistnämna metoden som Researchgruppen använt. En av gruppens medlemmar säger dock till Lunds Universitets webbsida att det handlat om att "testa dem mot andra uppgifter", vilket snarare skulle peka på det första scenariot.

Disqus säger i ett uttalande att det som hänt strider mot tjänstens integritetspolicy. Dessutom kommer företaget nu att ta bort kopplingen till Gravatar och ta bort de hashade e-postadresserna från sitt api.

Även IDG använder Disqus som kommentarsstjänst.