Hej!
Jag förstår att många är fundersamma vad detta är för dump som släppts ut och vad den innebär. Jag tänkte granska dumpen och försöka förstå vad det är för slags dump vi har att göra med. Jag börjar med att säga att jag har gått igenom alla 40.000 e-postadresser och sett hur många som är kopplade till ett konto här på Flashback.
Vi kan väl börja med att se hur många som är för närvarande kopplade till ett Flashback-konto:
Detta betyder att 23098 av 40269 e-postadresser som fanns med i Piscatus-dumpen finns kopplade till ett Flashback-konto för närvarande. Resterande 17171 behöver inte vara värdelösa, det kan helt enkelt vara så att att en hel del bytt e-postadress. 17171 är en stor siffra, men det kan vara så att dumpen är gammal, vi kollar vidare på det!
Vi kan väl se hur många egenregistrerade domäner som finns med i dumpen. Så vi tar bort de här typiska emailleverantörerna:
Nu är vi på bra väg! Nu har vi alltså äntligen lite data att arbeta med. Vi har 1461 styck .se-hemsidor som finns i Flashback-dumpen. Vi kan loopa igenom alla dessa och se när de registrerades för första gången nu, då får vi ett hum om när dumpen kan komma ifrån!
Ojoj, intressant! Verkar vara rätt gamla domäner detta! Nu har jag förvisso inte publicerat alla dessa 1461 domäners datum, men ovanstående ger en bra representation utav hela resultatet i sin helhet.
Som ni ser så finns det en från 2013, finns dessutom någon från 2014 och 2015. Skumt kan tyckas, det innebär väl att domänen skapades för första gången?
Nej. Jag är inte expert på domäner, men som jag har förstått det så kommer "Created"-datumet att uppdateras om man köper om domnen på nytt. Nu behöver jag förvisso inte gissa mig till detta så det finns system som håller koll på whois-historik. Så i detta fall skapades domänen år 2008 för första gången. Hemsidan jag använde mig var whois.sc/ som skriver ut "Whois History".
Okej, nu vet vi lite mer om dumpen och dess datum. Snittet för skapade domäner ligger runt 2004. Hade dumpen varit ny, dvs från 2013 och framåt så skulle iaf minst en domän varit registrerad efter 2009, det tycker jag!
17171? 17171?!?
Sjutton tusen e-postadresser är inte kopplade till ett Flashback-konto. Det är väldigt många, speciellt från en dump på 40.000. Men varför är siffran så stor?
1. Användare byter e-post mellan varven. Domäner dör ut så man måste byta till en giltig.
2. Om dumpen är gammal(2007:ish) så har användare haft minst 5 år på sig att byta mail.
3. OPSEC - varför länka sitt anonyma konto till en personlig hemsida?
Ang. punkt ett så kan vi ju verifiera detta genom att kolla på alla svenska domäner som inte fanns kopplade till ett konto, sedan kollar vi om domänen är aktiv.
Vad jag nu gjort är att jag sorterat ut alla domäner som inte är kopplade till en Flashback-profil, sedan har jag kollat upp den domänens MX(ett DNS-värde som talar om vart alla mail ska skickas. Har en domän en giltig MX så kan domänen ta emot mail). Jag kollar enbart domänens första MX-record. Resultatet blev 647 giltiga MX-records på hela 753 styck.
Hmm, där rök vår teori nummer ett, domänerna är inte direkt döda. Det sitter alltså användare som använt sina personliga domäner för att regga ett konto på Flashback men sen aldrig brytt sig om att byta mail. Om dumpen är gammal(vilket jag tror baserat på ovanstående info) så säger detta egentligen mer om hur Flashbackare tänker. Det är alltså inte vanligt att byta mail på sitt konto, man sitter i flera år med samma mail kopplad till sin profil här på Flashback.
Vanliga frågor
F: Är det sant att det från början var användarnamn i dumpen?
S: Nej, enbart personnummer och e-postadresser.
F: Är det sant att alla personnummer rördes runt för att gör dumpen mer "anonym"?
S: Nej, den var så när den kom ut från Piscatus. Dock är det bekräftat att ordningen är fel.
F: Hur hackades Piscatus.se?
S: Simpel error-based SQL-injektion.
Sammanfattning och slutord
Vi vet fortfarande ingenting, men vi kanske har lite mer att gå på vilket kan vara lugnande. Baserat på det jag tagit fram så tycks dumpen vara gammal, runt 2006-2008, inte bara domänernas startdatum tyder på detta utan att hela 17.000 Flashback-användare av 40.000 har någon gång bytt sin email och rent matematiskt så är det så att risken ökar med tiden att en användare ska byta mail.
Oavsett så tycks Flashbackare vara dåliga på att byta sin e-post. Det är fortfarande 23.000 bekräftade e-postadresser som är kopplade till ett konto, om nu dumpen är gammal så bekräftar detta min teori.
Jag tycker det är viktigt att lyfta fram att oavsett om dumpen finns eller inte, eller om RG har den eller ej så ska man veta att det är möjligt att ta reda på identiteter utan någon databas. Jag har bevisat att det går, även fast metoden var långsökt så var det något att gå på.
Personligen så tycker jag absolut att detta delvis är Flashbacks ansvar. Sätten man kan använda en databas för att filtrera ut de som är intressanta har aldrig riktigt setts över. Absolut går detta att göra på de flesta forum, men eftersom Flashback ska erbjuda anonymitet så behöver man se över saker som dessa.
Diskussionsunderlag:
Tror ni dumpen kommer från riktiga Flashback?
När tror ni den är ifrån?
Vems tekniska ansvar är detta, användarens eller Flashbacks? <-- Intressant fråga!
Övriga frågor eller synpunkter?
Jag förstår att många är fundersamma vad detta är för dump som släppts ut och vad den innebär. Jag tänkte granska dumpen och försöka förstå vad det är för slags dump vi har att göra med. Jag börjar med att säga att jag har gått igenom alla 40.000 e-postadresser och sett hur många som är kopplade till ett konto här på Flashback.
Vi kan väl börja med att se hur många som är för närvarande kopplade till ett Flashback-konto:
Kod:
(jag väljer att inte publicera koden som jag använde för att utföra detta test)grep "<blockquote>" ut | wc -l 23098 grep -v "<blockquote>" ut | wc -l 17171
Detta betyder att 23098 av 40269 e-postadresser som fanns med i Piscatus-dumpen finns kopplade till ett Flashback-konto för närvarande. Resterande 17171 behöver inte vara värdelösa, det kan helt enkelt vara så att att en hel del bytt e-postadress. 17171 är en stor siffra, men det kan vara så att dumpen är gammal, vi kollar vidare på det!
Vi kan väl se hur många egenregistrerade domäner som finns med i dumpen. Så vi tar bort de här typiska emailleverantörerna:
Kod:
Okej, nu börjar vi komma någonstans! 6528 e-postadresser som inte tillhör typiska emailleverantörer. Vi ska nu plocka ut alla .SE-TLDs och se när de registrerades för första gången.grep -v -i -E "telia.com|hotmail.com|gmail.com|live.se|spray.se|msn.com|yahoo.com" ut | wc -l 6528
Kod:
grep -o "@.* -" ut | tr -d ' -' | tr -d '@' | sort -u > unika_domäner.txt ; wc -l unik*
2895 #betyder att vi har 2895 unika domäner
grep ".se" unika_domäner.txt | wc -l
1461 #vi har nu 1461 styck .se-TLD's
Nu är vi på bra väg! Nu har vi alltså äntligen lite data att arbeta med. Vi har 1461 styck .se-hemsidor som finns i Flashback-dumpen. Vi kan loopa igenom alla dessa och se när de registrerades för första gången nu, då får vi ett hum om när dumpen kan komma ifrån!
Kod:
while read domain; do whois $domain | grep "created:" ; done < se
Citat:
created: 2008-10-28
created: 2005-05-11
created: 2004-11-24
created: 2002-07-09
created: 2006-06-27
created: 2005-10-17
created: 2003-04-26
created: 1990-02-19
created: 1997-11-24
created: 2005-03-22
created: 2003-09-01
created: 1996-07-11
created: 2003-04-30
created: 2000-08-28
created: 2013-07-09 #Skapades 2008
created: 1997-04-25
created: 1995-10-18
created: 2002-09-09
created: 2006-05-25
created: 2003-04-24
created: 2003-04-26
created: 1998-03-10
created: 2003-04-30
created: 2005-01-13
created: 2007-10-24
created: 2006-01-27
created: 2003-08-21
created: 2004-10-04
created: 2005-07-05
created: 2002-02-11
created: 2004-10-12
created: 2002-03-14
created: 2002-03-23
created: 1996-08-24
created: 2003-04-26
created: 1996-09-18
created: 2004-07-13
created: 1996-03-28
created: 2003-04-23
created: 2005-05-11
created: 2004-11-24
created: 2002-07-09
created: 2006-06-27
created: 2005-10-17
created: 2003-04-26
created: 1990-02-19
created: 1997-11-24
created: 2005-03-22
created: 2003-09-01
created: 1996-07-11
created: 2003-04-30
created: 2000-08-28
created: 2013-07-09 #Skapades 2008
created: 1997-04-25
created: 1995-10-18
created: 2002-09-09
created: 2006-05-25
created: 2003-04-24
created: 2003-04-26
created: 1998-03-10
created: 2003-04-30
created: 2005-01-13
created: 2007-10-24
created: 2006-01-27
created: 2003-08-21
created: 2004-10-04
created: 2005-07-05
created: 2002-02-11
created: 2004-10-12
created: 2002-03-14
created: 2002-03-23
created: 1996-08-24
created: 2003-04-26
created: 1996-09-18
created: 2004-07-13
created: 1996-03-28
created: 2003-04-23
Ojoj, intressant! Verkar vara rätt gamla domäner detta! Nu har jag förvisso inte publicerat alla dessa 1461 domäners datum, men ovanstående ger en bra representation utav hela resultatet i sin helhet.
Som ni ser så finns det en från 2013, finns dessutom någon från 2014 och 2015. Skumt kan tyckas, det innebär väl att domänen skapades för första gången?
Nej. Jag är inte expert på domäner, men som jag har förstått det så kommer "Created"-datumet att uppdateras om man köper om domnen på nytt. Nu behöver jag förvisso inte gissa mig till detta så det finns system som håller koll på whois-historik. Så i detta fall skapades domänen år 2008 för första gången. Hemsidan jag använde mig var whois.sc/ som skriver ut "Whois History".
Okej, nu vet vi lite mer om dumpen och dess datum. Snittet för skapade domäner ligger runt 2004. Hade dumpen varit ny, dvs från 2013 och framåt så skulle iaf minst en domän varit registrerad efter 2009, det tycker jag!
17171? 17171?!?
Sjutton tusen e-postadresser är inte kopplade till ett Flashback-konto. Det är väldigt många, speciellt från en dump på 40.000. Men varför är siffran så stor?
1. Användare byter e-post mellan varven. Domäner dör ut så man måste byta till en giltig.
2. Om dumpen är gammal(2007:ish) så har användare haft minst 5 år på sig att byta mail.
3. OPSEC - varför länka sitt anonyma konto till en personlig hemsida?
Ang. punkt ett så kan vi ju verifiera detta genom att kolla på alla svenska domäner som inte fanns kopplade till ett konto, sedan kollar vi om domänen är aktiv.
Kod:
#Vi hämtar ut alla unika domäner som inte var kopplade till ett Flashback-konto(753 st för er som ville vet hur många)
grep -v "<blockquote>" ut | grep ".se" | grep -o "@.* -" | tr -d ' -' | tr -d '@' | sort -u
#Nä, ingen whois denna gång. Vi kollar domänens MX
while read line; do dig $line MX +nocomments +noquestion +noauthority +noadditional +nostats +short | head -1 ; done<curlme >me
Vad jag nu gjort är att jag sorterat ut alla domäner som inte är kopplade till en Flashback-profil, sedan har jag kollat upp den domänens MX(ett DNS-värde som talar om vart alla mail ska skickas. Har en domän en giltig MX så kan domänen ta emot mail). Jag kollar enbart domänens första MX-record. Resultatet blev 647 giltiga MX-records på hela 753 styck.
Hmm, där rök vår teori nummer ett, domänerna är inte direkt döda. Det sitter alltså användare som använt sina personliga domäner för att regga ett konto på Flashback men sen aldrig brytt sig om att byta mail. Om dumpen är gammal(vilket jag tror baserat på ovanstående info) så säger detta egentligen mer om hur Flashbackare tänker. Det är alltså inte vanligt att byta mail på sitt konto, man sitter i flera år med samma mail kopplad till sin profil här på Flashback.
Vanliga frågor
F: Är det sant att det från början var användarnamn i dumpen?
S: Nej, enbart personnummer och e-postadresser.
F: Är det sant att alla personnummer rördes runt för att gör dumpen mer "anonym"?
S: Nej, den var så när den kom ut från Piscatus. Dock är det bekräftat att ordningen är fel.
F: Hur hackades Piscatus.se?
S: Simpel error-based SQL-injektion.
Sammanfattning och slutord
Vi vet fortfarande ingenting, men vi kanske har lite mer att gå på vilket kan vara lugnande. Baserat på det jag tagit fram så tycks dumpen vara gammal, runt 2006-2008, inte bara domänernas startdatum tyder på detta utan att hela 17.000 Flashback-användare av 40.000 har någon gång bytt sin email och rent matematiskt så är det så att risken ökar med tiden att en användare ska byta mail.
Oavsett så tycks Flashbackare vara dåliga på att byta sin e-post. Det är fortfarande 23.000 bekräftade e-postadresser som är kopplade till ett konto, om nu dumpen är gammal så bekräftar detta min teori.
Jag tycker det är viktigt att lyfta fram att oavsett om dumpen finns eller inte, eller om RG har den eller ej så ska man veta att det är möjligt att ta reda på identiteter utan någon databas. Jag har bevisat att det går, även fast metoden var långsökt så var det något att gå på.
Personligen så tycker jag absolut att detta delvis är Flashbacks ansvar. Sätten man kan använda en databas för att filtrera ut de som är intressanta har aldrig riktigt setts över. Absolut går detta att göra på de flesta forum, men eftersom Flashback ska erbjuda anonymitet så behöver man se över saker som dessa.
Diskussionsunderlag:
Tror ni dumpen kommer från riktiga Flashback?
När tror ni den är ifrån?
Vems tekniska ansvar är detta, användarens eller Flashbacks? <-- Intressant fråga!
Övriga frågor eller synpunkter?
