(eller hur man kan göra det i allmänhet)
Hej,
Ingen av er har säkert missat nyheten om att RG gått ut med att de har tillgång till delar av Flashbacks databas. Eftersom Admin påstår att ingen data har stulits så blir det ord mot ord, men jag tänkte skriva ett inlägg om hur man kan deanonymisera användare oavsett forum, men jag tar Flashback som exempel. Givetvis är detta enbart spekulationer men jag kommer med ett fungerande PoC. I denna tråd kan vi diskutera hur det kan ha skett till.
Först behöver man massor med mailadresser, alltså verkligen många. Miljontals. Att skaffa dessa är mycket enklare än vad ni skulle tro, faktum är att mailadresser ofta är publik info, så allt du behöver göra är att scrapa Google i några timmar så har du 100.000 svenska mailadresser. Även om de inte är publika så kan du skaffa miljoner från databasdumpar, exempel så har jag delat ut en dump med över en miljon mailadresser tillhörande klartextlösenord: (FB) Samling av hackade lösenord/användarnamn (Sammanfogad) - Och tro mig när jag säger att jag har miljoner med mailadresser som jag inte publicerat. Ett nyare exempel är ju detta: (FB) 4.929.090 Google/Gmail lösenord läckta - Och glöm för tusan inte mina 12 miljoner mailadresser tillhörande lösenord: (FB) "Jag efterlyser en databasdump av specifik sida" - Bara publicerade dumpar tillåtna
Kontentan är att skaffa mailadresser är enkelt. Att skaffa si så där 30-50 miljoner mailadresser är absolut inga problem, men hur man ska använda dem är lite knepigare. Så hur verifierar man mailadresserna?
Genom lösenordsåterställningsfunktionen! Ni vet om man glömt sitt lösenord så anger man sin email och sedan får man ett mail med en länk som låter dig byta lösenord. Om man anger en felaktig email så kommer systemet ofta svara att det inte finns någon sådan i databasen.
Flashbacks funktionen säger till om emailen inte finns i databasen, så här står det:
Nedan för ett ett mycket simpelt bash-skript som löser mailadresser ifrån en lista och kollar hur Flashback reagerar. Spara all output i en fil och sök efter de som fanns i listan genom att använda omvänd match (grep -v "Du har inte)"
[PHP]#!/bin/bash
while read l
do
test=$(curl --silent -d "email="$l"&s=&do=emailpassword" "https://www.flashback.org/login.php?do=lostpw" | grep -o 'Du har inte')
echo $l "-" $test
done <google.txt[/PHP]
Verklig statistik
Jag testade på 30.000 utländska mailadresser och fick lite mer än 70 träffar. Jag testade på 10.000 svenska mailadresser och fick lite mer än 1100 träffar..
Jag vågar påstå att jag får 10% träffar per svensk databasdump. Det betyder att 10.000 mailadresser genererar 1000 mailadresser som tillhör en Flashback-användare. Har man lösenord så vågar jag påstå att 30% har samma lösen till sin mail som till sitt Flashback-konto. har man tillgång till mailen så är hela Flashback-kontot inklusive din anonymitet krossad.
Bevis: https://i.imgur.com/OIlqBc9.png (jag kommer inte dela med mig då jag kommer åka på 1.06)
Andra deanonymiseringsmetoder
Skicka spammejl till de mailadresser som finns på Flashback, gör det legit och hoppas på det bästa! Då har du skaffat en IP-adress.
Många av dem har samma mail på facebook så det är bara till att välja lösenordsåterställningsfunktionen där också så kommer det fullständiga namnet med. Faktum är att man kan söka efter folk med deras mailadress, det gör du så här: https://www.facebook.com/search/results/?q=email
Googla på mailadressen och hoppas på ett namn. Att koppla användarnamn till en mail är fortfarande rätt svårt, men så länge samma användare har samma alias på en annan sida så är det absolut möjligt. Många har användarnamnet eller sitt riktiga namn i mejladressen(ja, jag hittade ett par användare på detta sätt).
Slutsats
Jag har genom denna metod visat hur man kan få miljoner med mailadresser att bli verifierade att de tillhör någon på Flashback. Enligt mina beräkningar så kan man få reda på ungefär 100.000 mailadresser och ungefär 60% av dessa går att koppla till ett riktigt namn.
Vad tror ni om ovanstående metod, deanonymiserar den i en stor skala?
Vilka fler metoder kan man använda i kombination med ovanstående?
Hej,
Ingen av er har säkert missat nyheten om att RG gått ut med att de har tillgång till delar av Flashbacks databas. Eftersom Admin påstår att ingen data har stulits så blir det ord mot ord, men jag tänkte skriva ett inlägg om hur man kan deanonymisera användare oavsett forum, men jag tar Flashback som exempel. Givetvis är detta enbart spekulationer men jag kommer med ett fungerande PoC. I denna tråd kan vi diskutera hur det kan ha skett till.
Först behöver man massor med mailadresser, alltså verkligen många. Miljontals. Att skaffa dessa är mycket enklare än vad ni skulle tro, faktum är att mailadresser ofta är publik info, så allt du behöver göra är att scrapa Google i några timmar så har du 100.000 svenska mailadresser. Även om de inte är publika så kan du skaffa miljoner från databasdumpar, exempel så har jag delat ut en dump med över en miljon mailadresser tillhörande klartextlösenord: (FB) Samling av hackade lösenord/användarnamn (Sammanfogad) - Och tro mig när jag säger att jag har miljoner med mailadresser som jag inte publicerat. Ett nyare exempel är ju detta: (FB) 4.929.090 Google/Gmail lösenord läckta - Och glöm för tusan inte mina 12 miljoner mailadresser tillhörande lösenord: (FB) "Jag efterlyser en databasdump av specifik sida" - Bara publicerade dumpar tillåtna
Kontentan är att skaffa mailadresser är enkelt. Att skaffa si så där 30-50 miljoner mailadresser är absolut inga problem, men hur man ska använda dem är lite knepigare. Så hur verifierar man mailadresserna?
Genom lösenordsåterställningsfunktionen! Ni vet om man glömt sitt lösenord så anger man sin email och sedan får man ett mail med en länk som låter dig byta lösenord. Om man anger en felaktig email så kommer systemet ofta svara att det inte finns någon sådan i databasen.
Flashbacks funktionen säger till om emailen inte finns i databasen, så här står det:
Citat:
Och värst av allt är att man har hur många försök på sig att ange en email.
Du har inte angivet en e-postadress som vi känner igen. Var vänlig och försök igen eller kontakta den webbansvarige.
Nedan för ett ett mycket simpelt bash-skript som löser mailadresser ifrån en lista och kollar hur Flashback reagerar. Spara all output i en fil och sök efter de som fanns i listan genom att använda omvänd match (grep -v "Du har inte)"
[PHP]#!/bin/bash
while read l
do
test=$(curl --silent -d "email="$l"&s=&do=emailpassword" "https://www.flashback.org/login.php?do=lostpw" | grep -o 'Du har inte')
echo $l "-" $test
done <google.txt[/PHP]
Verklig statistik
Jag testade på 30.000 utländska mailadresser och fick lite mer än 70 träffar. Jag testade på 10.000 svenska mailadresser och fick lite mer än 1100 träffar..
Jag vågar påstå att jag får 10% träffar per svensk databasdump. Det betyder att 10.000 mailadresser genererar 1000 mailadresser som tillhör en Flashback-användare. Har man lösenord så vågar jag påstå att 30% har samma lösen till sin mail som till sitt Flashback-konto. har man tillgång till mailen så är hela Flashback-kontot inklusive din anonymitet krossad.
Bevis: https://i.imgur.com/OIlqBc9.png (jag kommer inte dela med mig då jag kommer åka på 1.06)
Andra deanonymiseringsmetoder
Skicka spammejl till de mailadresser som finns på Flashback, gör det legit och hoppas på det bästa! Då har du skaffat en IP-adress.
Många av dem har samma mail på facebook så det är bara till att välja lösenordsåterställningsfunktionen där också så kommer det fullständiga namnet med. Faktum är att man kan söka efter folk med deras mailadress, det gör du så här: https://www.facebook.com/search/results/?q=email
Googla på mailadressen och hoppas på ett namn. Att koppla användarnamn till en mail är fortfarande rätt svårt, men så länge samma användare har samma alias på en annan sida så är det absolut möjligt. Många har användarnamnet eller sitt riktiga namn i mejladressen(ja, jag hittade ett par användare på detta sätt).
Slutsats
Jag har genom denna metod visat hur man kan få miljoner med mailadresser att bli verifierade att de tillhör någon på Flashback. Enligt mina beräkningar så kan man få reda på ungefär 100.000 mailadresser och ungefär 60% av dessa går att koppla till ett riktigt namn.
---------------- Tips för att hålla er anonyma ----------------
---------------- Diskussionsunderlag ----------------
- Bytt lösenord!
- Ha en email som du BARA har till Flashback
- Ha ett unikt användarnamn(ha inte samma överallt)
---------------- Diskussionsunderlag ----------------
Vad tror ni om ovanstående metod, deanonymiserar den i en stor skala?
Vilka fler metoder kan man använda i kombination med ovanstående?
