21:29
10/12/2013

Popularna wtyczka do obsługi komentarzy na blogach posiada słabość w API, która umożliwia identyfikację tożsamości jej użytkowników po ich adresie e-mail. Grupa, która odkryła błąd zrobiła to działając na zlecenie tabloida, który chciał sprawdzić którzy politycy wypowiadają się na stronach internetowych z mową nienawiści.

Atak na Disqusa

Atak jest prosty i polega najpierw na wyciągnięciu hashy MD5 poprzez API Disqusa, a potem na klasycznym “łamaniu” tychże hashy, będących niczym innym jak …adresami e-mail użytkownika. I wcale nie potrzeba tu podejścia typu brute-force, ponieważ w sytuacji gdy znamy e-mail osoby, którą jesteśmy zainteresowani (np. polityka) możemy sami go zashashować i porównać z wyciągniętymi z Disqusa hashami aby odkryć pod jakim nickiem ukrywa się inwigilowana osoba.

Disqus

Disqus

Co to oznacza dla użytkowników Disqusa? Tym, którzy wykorzystali do rejestracji w serwisie nieidentyfikujący ich e-mail — nic. Gorzej z tymi, którzy myśleli, że ukryją swoją tożsamość używając enigmatycznego nicka, ale mimo wszystko (błąd!) konto założyli na powiązany z ich osobą, prawdziwy adres e-mail.

Z Disqusa korzysta ponad 50 milionów użytkowników i jest on zaimplementowany na 750 000 stron internetowych. Co ciekawe, aby uzyskać dostęp do API, badaczem usieli potwierdzić regulamin, który zabrania zbierania i publikowania identyfikujących użytkowników danych. Ale czy ewentualni atakujący słuchaliby się regulaminów…?


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. Popularna wtyczka do obsługi komentarzy na blogach posiada słabość w API, która umożliwia identyfikację tożsamości jej użytkowników po adresie ich adresie e-mail.

    za duuużo adresów :)
    art ciekawy:)

    • Warto wziąć bazę z Adobe i sprawdzić, jakie nicki mają internauci ;=)

  2. > za duuużo adresów :)

    > Warto wziąć bazę z Adobe i sprawdzić, jakie nicki mają internauci ;=)

    Piotr, kolega miał na myśli powielenie słowa “adresie” ;-)

    > jej użytkowników po adresie ich adresie e-mail

  3. Nigdy nie byłem przekonany do tego badziewia, dlatego nie instalowałem tego na swojej stronie. Z jednej strony jest dobre, ale z drugiej nie chce żeby ktoś poza mną miał dostęp do treści autorstwa użytkowników serwisu

  4. Nie można ukryć tożsamości w Disqus? A to w ogóle można
    ukryć tożsamość w Internecie? :-) Co za różnica skoro zwykle
    wpisanie ksywki w Google łatwiej pozwoli kogoś namierzyć. Tym
    bardziej, że wiele osób ma parę kont mailowych, które rzadko są
    powiązane wprost z nazwiskiem. Nie mówiąc już o tym, że prosty trik
    z plusem w adresie gmail spowoduje, że hash będzie w praktyce nie
    do złamania.

  5. A jak ktoś się logował tłyterem?

  6. Jeszcze nie skomentowałem żadnego artykułu na żadnej stronie używającej disqusa – po prostu mi się nie chciało zakładać kolejnego badziewnego konta.

    Co do hashy, to każdemu serwisowi daję inny email w domenie zarejestrowanej do tego celu – więc byłbym “bezpieczny”.

    • przeciez tam mozna pisać anonimowo

    • Jest tez mailinator.
      Z mojego doswiadczenia zaskakujaco malo serwisow go blokuje

  7. Ciekawe, co to znaczy mowa nienawiści.
    Pewnie takie same określenie jak homofob.
    Czyli gie znaczące, a straszak na potencjalnie nieposłusznych obywateli.

    Tak wyglądają masowe usługi – niby łatwiej a potem się ludzie budzą z ręką w nocniku.

    I j.w. – nie zdarzyło mi się skomentować żadnego artykułu/wpisu gdzie używano Disquse

  8. Mowa nienawiści?

    “Maria Stensby, voted in as an alternate member of the party’s executive board at the recent party conference, resigned on Tuesday morning following confirmation that she had said “I hope they starve to death” in reference to an article about a group of children on hunger strike at an asylum centre.” – thelocal.se

  9. Kto by pomyślał, że dziura w diqusie będzie miała takie
    skutki :)
    http://www.thelocal.se/20131218/bomb-detonates-at-sweden-democrat-home

  10. Tyle lat a jednak przetrwał. Co do mowy nienawiści – trochę się pozmieniało w 2019 ;)

Odpowiadasz na komentarz And1

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: