10/12/2013
Popularna wtyczka do obsługi komentarzy na blogach posiada słabość w API, która umożliwia identyfikację tożsamości jej użytkowników po ich adresie e-mail. Grupa, która odkryła błąd zrobiła to działając na zlecenie tabloida, który chciał sprawdzić którzy politycy wypowiadają się na stronach internetowych z mową nienawiści.
Atak na Disqusa
Atak jest prosty i polega najpierw na wyciągnięciu hashy MD5 poprzez API Disqusa, a potem na klasycznym “łamaniu” tychże hashy, będących niczym innym jak …adresami e-mail użytkownika. I wcale nie potrzeba tu podejścia typu brute-force, ponieważ w sytuacji gdy znamy e-mail osoby, którą jesteśmy zainteresowani (np. polityka) możemy sami go zashashować i porównać z wyciągniętymi z Disqusa hashami aby odkryć pod jakim nickiem ukrywa się inwigilowana osoba.
Co to oznacza dla użytkowników Disqusa? Tym, którzy wykorzystali do rejestracji w serwisie nieidentyfikujący ich e-mail — nic. Gorzej z tymi, którzy myśleli, że ukryją swoją tożsamość używając enigmatycznego nicka, ale mimo wszystko (błąd!) konto założyli na powiązany z ich osobą, prawdziwy adres e-mail.
Z Disqusa korzysta ponad 50 milionów użytkowników i jest on zaimplementowany na 750 000 stron internetowych. Co ciekawe, aby uzyskać dostęp do API, badaczem usieli potwierdzić regulamin, który zabrania zbierania i publikowania identyfikujących użytkowników danych. Ale czy ewentualni atakujący słuchaliby się regulaminów…?
Popularna wtyczka do obsługi komentarzy na blogach posiada słabość w API, która umożliwia identyfikację tożsamości jej użytkowników po adresie ich adresie e-mail.
za duuużo adresów :)
art ciekawy:)
Warto wziąć bazę z Adobe i sprawdzić, jakie nicki mają internauci ;=)
> za duuużo adresów :)
> Warto wziąć bazę z Adobe i sprawdzić, jakie nicki mają internauci ;=)
Piotr, kolega miał na myśli powielenie słowa “adresie” ;-)
> jej użytkowników po adresie ich adresie e-mail
Nigdy nie byłem przekonany do tego badziewia, dlatego nie instalowałem tego na swojej stronie. Z jednej strony jest dobre, ale z drugiej nie chce żeby ktoś poza mną miał dostęp do treści autorstwa użytkowników serwisu
Nie można ukryć tożsamości w Disqus? A to w ogóle można
ukryć tożsamość w Internecie? :-) Co za różnica skoro zwykle
wpisanie ksywki w Google łatwiej pozwoli kogoś namierzyć. Tym
bardziej, że wiele osób ma parę kont mailowych, które rzadko są
powiązane wprost z nazwiskiem. Nie mówiąc już o tym, że prosty trik
z plusem w adresie gmail spowoduje, że hash będzie w praktyce nie
do złamania.
A jak ktoś się logował tłyterem?
Jeszcze nie skomentowałem żadnego artykułu na żadnej stronie używającej disqusa – po prostu mi się nie chciało zakładać kolejnego badziewnego konta.
Co do hashy, to każdemu serwisowi daję inny email w domenie zarejestrowanej do tego celu – więc byłbym “bezpieczny”.
przeciez tam mozna pisać anonimowo
Jest tez mailinator.
Z mojego doswiadczenia zaskakujaco malo serwisow go blokuje
Ciekawe, co to znaczy mowa nienawiści.
Pewnie takie same określenie jak homofob.
Czyli gie znaczące, a straszak na potencjalnie nieposłusznych obywateli.
Tak wyglądają masowe usługi – niby łatwiej a potem się ludzie budzą z ręką w nocniku.
I j.w. – nie zdarzyło mi się skomentować żadnego artykułu/wpisu gdzie używano Disquse
Mowa nienawiści?
“Maria Stensby, voted in as an alternate member of the party’s executive board at the recent party conference, resigned on Tuesday morning following confirmation that she had said “I hope they starve to death” in reference to an article about a group of children on hunger strike at an asylum centre.” – thelocal.se
Kto by pomyślał, że dziura w diqusie będzie miała takie
skutki :)
http://www.thelocal.se/20131218/bomb-detonates-at-sweden-democrat-home
Tyle lat a jednak przetrwał. Co do mowy nienawiści – trochę się pozmieniało w 2019 ;)