Шведская компания Resarchgruppen осуществила брутфорс хэшей MD5, которые соответствуют адресам электронной почты пользователей Disqus. Эта информация скрыта от посторонних глаз, но хакеры поставили цель выявить на «сайтах ненависти» сообщения, оставленные шведскими политиками анонимно.
Если верить Википедии, движок Disqus установлен на 750 тыс. сайтах, а аудитория сервиса превышает 50 млн человек. Так что уязвимость затрагивает очень многих людей.
Впрочем, сложно называть «уязвимостью» демонстрацию хэшей MD5 от адресов электронной почты. Брутфорс хэшей по радужным таблицам — это стандартная атака, так что ничего необычного здесь нет. Более того, специалисты давно указывали на потенциальную слабость защиты Disqus в этом отношении.
Специалист по безопасности Дэвид Ремал (David Remahl) показывает пример атаки.
https://disqus.com/api/3.0/users/details.json?user=username:davidremahl&api_secret=secret … → c185522a707e00cbac6d561b5de87676 == MD5(адрес)
