Możliwości pozyskiwania adresów e-mail z serwisów internetowych używających Gravatara

• Autorzy: Rodwald Przemysław

Identyfikatory

DOI

10.5604/01.3001.0013.3003

Warianty tytułu

EN

E-mail recovery from websites using Gravatar

• Języki publikacji: PL

Abstrakty

PL

Mimo, że Internet nie został stworzony z myślą o anonimowości, wielu użytkowników publikujących komentarze na forach dyskusyjnych pod różnymi pseudonimami ma nadzieję, że pozostaną anonimowi. W artykule przedstawiony został atak, którego celem jest ujawnienie adresów e-mail użytkowników wybranego serwisu internetowego wykorzystującego Gravatara. Pokazana została metodologia przeprowadzenia ataku oraz zaprezentowane zostały jego rezultaty. Atak ten ma na celu uświadomienie czytelników, że publikując komentarze na stronach korzystających z usług Gravatara, są narażeni na ujawnienie adresów e-mail, a w niektórych przypadkach nawet na pełną identyfikację.

EN

Although the Internet has not been created for anonymity, many users posting comments on blogs hope that they will remain anonymous. The article presents an attack on revealing the e-mail addresses of users posting comments on the sample website using Gravatar. This attack aims to make readers aware of the fact that by posting comments on sites using Gravatara services, we are exposed to the disclosure of our e-mail addresses and sometimes even of our real identity.

Słowa kluczowe

PL

Gravatar; deanonimizacja; adres e-mail; funkcja skrótu MD5

EN

Gravatar; deanonimization; e-mail; MD5 hash function

• Wydawca: Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego
• Czasopismo: Biuletyn Wojskowej Akademii Technicznej
• Rocznik: 2019
• Tom: Vol. 68, nr 2
• Strony: 59--70
• Opis fizyczny: Bibliogr. 22 poz., rys., tab.

Twórcy

autor

Rodwald Przemysław

• Akademia Marynarki Wojennej, Wydział Nawigacji i Uzbrojenia Okrętowego, Instytut Uzbrojenia Okrętowego i Informatyki, ul. Śmidowicza 69, 81-127 Gdynia

Bibliografia

• [1] abell, Gravatars: why publishing your email’s hash is not a good idea, developer.it 2009, http://www.developer.it/post/gravatars-why-publishing-your-email-s-hash-is-not-a-good-idea [dostęp: 15.01.2019].
• [2] Bongard D., De-anonymizing Users of French Political Forums, 0xcite LLC, Luxembourg, 2013, http://archive.hack.lu/2013/dbongard_hacklu_2013.pdf [dostęp: 15.01.2019].
• [3] Web Technology Surveys, Usage of content management systems for websites, https://w3techs.com/technologies/overview/content_management/all [dostęp: 15.01.2019].
• [4] Gravatar - strona startowa, http://pl.gravatar.com [dostęp: 15.01.2019].
• [5] Rivest R., The MD5 Message-Digest Algorithm RFC 1321, 1992, https://tools.ietf.org/html/rfc1321 [dostęp: 15.01.2019].
• [6] Wang X., Yu H., How to Break MD5 and Other Hash Functions, In: R. Cramer (eds), Advances in Cryptology – EUROCRYPT 2005, Lecture Notes in Computer Science, vol. 3494, Springer, Berlin, Heidelberg, DOI: https://doi.org/10.1007/11426639_2.
• [7] Lenstra A., Wang X., de Weger B., Colliding X.509 Certificates, Cryptology ePrint Archive Report 2005/067, 2005, https://eprint.iacr.org/2005/067 [dostęp: 15.01.2019].
• [8] Selinger P., MD5 Collision Demo, 2006, https://mathstat.dal.ca/~selinger/md5collision/ [dostęp: 15.01.2019].
• [9] Stevens M., Lenstra A., de Weger B., Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3, 2007, https://www.win.tue.nl/hashclash/Nostradamus/ [dostęp: 15.01.2019].
• [10] McHugh N., Create your own MD5 collisions, 2015, https://natmchugh.blogspot.com/2015/02/create-your-own-md5-collisions.html [dostęp: 15.01.2019].
• [11] Rodwald P., Biernacik B., Zabezpieczanie haseł w systemach informatycznych, Biuletyn Wojskowej Akademii Technicznej, 67, 1, 2018, s. 73-92, DOI: 10.5604/01.3001.0011.8036.
• [12] Nvidia Gigabyte RTX 2080 TI Hashcat Benchmarks, https://gist.github.com/codeandsec/1c1f2c7b-d81abba6fa9736b061944675 [dostęp: 15.01.2019].
• [13] Yao J., Mao W., RFC 6531 - SMTP Extension for Internationalized Email, IETF 2012, http://www.ietf.org/rfc/rfc6531.txt [dostęp: 15.01.2019].
• [14] Mockapetris P., RFC 1035 - Domain Names - Implementation and Specifications, IEFT, 1987, http://www.ietf.org/rfc/rfc1035.txt [dostęp: 15.01.2019].
• [15] Verisign, The Domain Name Industry Brief, vol. 16, iss. 1, March 2019, https://www.verisign.com/assets/domain-name-report-Q42018.pdf [dostęp: 22.05.2019].
• [16] The Radicati Group, Email Statistics Report 2018-2022, 2018. www.radicati.com/wp/wp-content/uploads/2017/12/Email-Statistics-Report-2018-2022-Executive-Summary.pdf [dostęp: 22.05.2019].
• [17] Dougherty C.R., Vulnerability Note VU#836068 MD5 vulnerable to collision attacks, Vulnerability notes database, CERT Carnegie Mellon University Software Engineering Institute, 2008, https://www.kb.cert.org/vuls/id/836068 [dostęp: 15.01.2019].
• [18] Rodwald P., Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych, Biuletyn Wojskowej Akademii Technicznej, 2019, 68, 1, 2019, s. 79-100. DOI: 10.5604/01.3001.0013.1467.
• [19] Heartle A., Hasła ponad 10 milionów polskich kont email dostępne do pobrania w sieci, zaufanatrzeciastrona.pl, 2017, https://zaufanatrzeciastrona.pl/post/hasla-ponad-10-milionow-polskich-kont-email-dostepne-do-pobrania-w-sieci/ [dostęp: 15.01.2019].
• [20] Hashkiller 1080 – specyfikacja sprzętu, https://www.rodwald.pl/blog/432/ [dostęp: 15.01.2019].
• [21] Hashkiller 1080 benchmark, https://www.rodwald.pl/blog/1161/ [dostęp: 15.01.2019].
• [22] Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl, https://www.rodwald.pl/blog/1195/ [dostęp: 15.01.2019].