21:29
10/12/2013

Popularna wtyczka do obsługi komentarzy na blogach posiada słabość w API, która umożliwia identyfikację tożsamości jej użytkowników po ich adresie e-mail. Grupa, która odkryła błąd zrobiła to działając na zlecenie tabloida, który chciał sprawdzić którzy politycy wypowiadają się na stronach internetowych z mową nienawiści.

Atak na Disqusa

Atak jest prosty i polega najpierw na wyciągnięciu hashy MD5 poprzez API Disqusa, a potem na klasycznym “łamaniu” tychże hashy, będących niczym innym jak …adresami e-mail użytkownika. I wcale nie potrzeba tu podejścia typu brute-force, ponieważ w sytuacji gdy znamy e-mail osoby, którą jesteśmy zainteresowani (np. polityka) możemy sami go zashashować i porównać z wyciągniętymi z Disqusa hashami aby odkryć pod jakim nickiem ukrywa się inwigilowana osoba.

Disqus

Disqus

Co to oznacza dla użytkowników Disqusa? Tym, którzy wykorzystali do rejestracji w serwisie nieidentyfikujący ich e-mail — nic. Gorzej z tymi, którzy myśleli, że ukryją swoją tożsamość używając enigmatycznego nicka, ale mimo wszystko (błąd!) konto założyli na powiązany z ich osobą, prawdziwy adres e-mail.

Z Disqusa korzysta ponad 50 milionów użytkowników i jest on zaimplementowany na 750 000 stron internetowych. Co ciekawe, aby uzyskać dostęp do API, badaczem usieli potwierdzić regulamin, który zabrania zbierania i publikowania identyfikujących użytkowników danych. Ale czy ewentualni atakujący słuchaliby się regulaminów…?

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. Popularna wtyczka do obsługi komentarzy na blogach posiada słabość w API, która umożliwia identyfikację tożsamości jej użytkowników po adresie ich adresie e-mail.

    za duuużo adresów :)
    art ciekawy:)

    • Warto wziąć bazę z Adobe i sprawdzić, jakie nicki mają internauci ;=)

  2. > za duuużo adresów :)

    > Warto wziąć bazę z Adobe i sprawdzić, jakie nicki mają internauci ;=)

    Piotr, kolega miał na myśli powielenie słowa “adresie” ;-)

    > jej użytkowników po adresie ich adresie e-mail

  3. Nigdy nie byłem przekonany do tego badziewia, dlatego nie instalowałem tego na swojej stronie. Z jednej strony jest dobre, ale z drugiej nie chce żeby ktoś poza mną miał dostęp do treści autorstwa użytkowników serwisu

  4. Nie można ukryć tożsamości w Disqus? A to w ogóle można
    ukryć tożsamość w Internecie? :-) Co za różnica skoro zwykle
    wpisanie ksywki w Google łatwiej pozwoli kogoś namierzyć. Tym
    bardziej, że wiele osób ma parę kont mailowych, które rzadko są
    powiązane wprost z nazwiskiem. Nie mówiąc już o tym, że prosty trik
    z plusem w adresie gmail spowoduje, że hash będzie w praktyce nie
    do złamania.

  5. A jak ktoś się logował tłyterem?

  6. Jeszcze nie skomentowałem żadnego artykułu na żadnej stronie używającej disqusa – po prostu mi się nie chciało zakładać kolejnego badziewnego konta.

    Co do hashy, to każdemu serwisowi daję inny email w domenie zarejestrowanej do tego celu – więc byłbym “bezpieczny”.

    • przeciez tam mozna pisać anonimowo

    • Jest tez mailinator.
      Z mojego doswiadczenia zaskakujaco malo serwisow go blokuje

  7. Ciekawe, co to znaczy mowa nienawiści.
    Pewnie takie same określenie jak homofob.
    Czyli gie znaczące, a straszak na potencjalnie nieposłusznych obywateli.

    Tak wyglądają masowe usługi – niby łatwiej a potem się ludzie budzą z ręką w nocniku.

    I j.w. – nie zdarzyło mi się skomentować żadnego artykułu/wpisu gdzie używano Disquse

  8. Mowa nienawiści?

    “Maria Stensby, voted in as an alternate member of the party’s executive board at the recent party conference, resigned on Tuesday morning following confirmation that she had said “I hope they starve to death” in reference to an article about a group of children on hunger strike at an asylum centre.” – thelocal.se

  9. Kto by pomyślał, że dziura w diqusie będzie miała takie
    skutki :)
    http://www.thelocal.se/20131218/bomb-detonates-at-sweden-democrat-home

  10. Tyle lat a jednak przetrwał. Co do mowy nienawiści – trochę się pozmieniało w 2019 ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: