报告 #377565 - 可在 https://core.blockstack.org 查看所有泄露的用户名

时间线

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 向 Hiro 提交报告 2018年7月5日 下午3:26 UTC

菜单菜单

团队您好，

这应该是私密的，应该隐藏所有在blockstack.org注册的用户名，攻击者可以获取用户信息 https://core.blockstack.org/v1/subdomains?page=10

我原以为这是演示用户，但我在列表中找到了我的用户名，这应该是私密的

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

[
  "demoaccount1.stealthy.id",
  "demoaccount2.stealthy.id",
  "demoaccount3.stealthy.id",
  "demoaccount4.stealthy.id",
  "demoaccount5.stealthy.id",
  "demon.id.blockstack",
  "denilton.id.blockstack",
  "denizz009.id.blockstack",
  // ... 更多用户名
  "druhela.id.blockstack",
  "drunksanddragons.verified.podcast"
]

影响

信息泄露

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月5日 下午3:39 UTC

菜单菜单 这个页面直到 https://core.blockstack.org/v1/subdomains?page=41 用户名都被泄露了..

myskar 将报告标题从"可在 browser.blockstack.org 查看所有用户名"改为"可在 https://core.blockstack.org 查看所有用户名泄露" 2018年7月5日 下午3:40 UTC

a-hiro 发表评论 2018年7月5日 下午3:44 UTC

菜单菜单 所有这些名称都在公共区块链上公布。它们是公共信息——这个端点只是查询该区块链。

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月5日 下午3:49 UTC

菜单菜单 这应该隐藏所有列表..攻击者可以公开发布..例如，如果blockstack的用户可以看到攻击者的博客..通过这种方式，攻击者可以让用户感到沮丧，新用户会失去在blockstack注册的所有兴趣.. :)

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月5日 下午3:50 UTC

菜单菜单 新用户不会有太多耐心来解决这个问题，并认为blockstack不安全/不可靠。

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月5日 下午4:14 UTC

菜单菜单 我建议这个子域名也不应该可框架化..

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月6日 下午4:34 UTC

菜单菜单 @ablankstein

a-hiro 关闭报告并将状态改为"信息性" 2018年7月6日 下午11:15 UTC

菜单菜单 这些名称是公开的，并在区块链上公开宣布。此端点没有泄露任何非公开信息—将此关闭为信息性。

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月6日 下午11:54 UTC

菜单菜单 @ablankstein 我们可以公开披露吗？

myskar 请求披露此报告 2018年7月6日 下午11:54 UTC

ID认证黑客 - 已成功完成ID验证检查的黑客。

myskar 发表评论 2018年7月6日 下午11:54 UTC

菜单菜单 请 @ablankstein rafaelcr

Hiro员工 同意披露此报告 6天前

此报告已被披露 6天前

报告详情