Blockstack用户名泄露漏洞分析

本文详细记录了Blockstack平台用户信息泄露漏洞的发现过程,攻击者可通过API端点获取所有注册用户名,涉及数据隐私和安全风险的技术讨论。

报告 #377565 - 可在 https://core.blockstack.org 查看所有泄露的用户名

时间线
ID认证 - 已成功完成身份验证检查的黑客。

myskar 向 Hiro 提交了一份报告。
2018年7月5日,下午3:26 UTC

菜单 菜单

团队您好,

这应该是私密的,应该隐藏所有在 blockstack.org 注册的用户名,攻击者可以获取用户信息
https://core.blockstack.org/v1/subdomains?page=10

我原以为这些是演示用户,但我在列表中发现了我的用户名,这应该是私密的。

代码

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102

[
  "demoaccount1.stealthy.id", 
  "demoaccount2.stealthy.id", 
  "demoaccount3.stealthy.id", 
  "demoaccount4.stealthy.id", 
  "demoaccount5.stealthy.id", 
  "demon.id.blockstack", 
  "denilton.id.blockstack", 
  "denizz009.id.blockstack", 
  "denkijin.id.blockstack", 
  "dennis.id.blockstack", 
  "dennis1995.id.blockstack", 
  "dennis95.id.blockstack", 
  "dennis_linux.id.blockstack", 
  "dennislwm.id.blockstack", 
  "denranevski.stealthy.id", 
  "densiki.id.blockstack", 
  "dentistryuncensored.verified.podcast", 
  "derek.stealthy.id", 
  "derekagilbert.id.blockstack", 
  "derekgilbert.id.blockstack", 
  "dermatology.verified.podcast", 
  "design.id.blockstack", 
  "designmatters.verified.podcast", 
  "destiny.verified.podcast", 
  "destinycommunity.verified.podcast", 
  "dev_orv.id.blockstack", 
  "developertea.verified.podcast", 
  "deverickc.id.blockstack", 
  "devilcoders.id.blockstack", 
  "devtest.id.blockstack", 
  "devuniversalwallet.id.blockstack", 
  "dexter24.id.blockstack", 
  "dexterguff.verified.podcast", 
  "dezirae.stealthy.id", 
  "dhiraj362.id.blockstack", 
  "dhlee702.id.blockstack", 
  "dhsmith.id.blockstack", 
  "dhwan291.id.blockstack", 
  "dicetower.verified.podcast", 
  "didisimon.stealthy.id", 
  "dietze.id.blockstack", 
  "diggins.id.blockstack", 
  "dilara.stealthy.id", 
  "dilipdom.id.blockstack", 
  "dinhtuan.id.blockstack", 
  "dio1453.id.blockstack", 
  "dippolitos.id.blockstack", 
  "directcurrent.verified.podcast", 
  "directorscut.verified.podcast", 
  "dirtbagdiaries.verified.podcast", 
  "dirtyjohn.verified.podcast", 
  "dirua.id.blockstack", 
  "discovery.verified.podcast", 
  "discrete.id.blockstack", 
  "dishnation.verified.podcast", 
  "disney.id.blockstack", 
  "disparamargotdispara.verified.podcast", 
  "dissect.verified.podcast", 
  "diymusician.verified.podcast", 
  "djax22.stealthy.id", 
  "djfrankievazquez.verified.podcast", 
  "djgrind.verified.podcast", 
  "djordje.id.blockstack", 
  "djordje12.id.blockstack", 
  "djovani.stealthy.id", 
  "dki40447.id.blockstack", 
  "dlb.personal.id", 
  "dlc.verified.podcast", 
  "dmdb.id.blockstack", 
  "dnlkenanii.id.blockstack", 
  "doc.id.blockstack", 
  "domen19.id.blockstack", 
  "dominic.id.blockstack", 
  "domino_jack.id.blockstack", 
  "donedisappeared.verified.podcast", 
  "dontblameme.verified.podcast", 
  "dontkeepyourdayjob.verified.podcast", 
  "double11one.stealthy.id", 
  "douglovesmovies.verified.podcast", 
  "downdirtyradio.verified.podcast", 
  "dp.id.blockstack", 
  "dpjblock.stealthy.id", 
  "dpn.id.blockstack", 
  "dprandi.stealthy.id", 
  "dpsoccerdude101.id.blockstack", 
  "draft.verified.podcast", 
  "dragan007.id.blockstack", 
  "dragonsinplaces.verified.podcast", 
  "drdrew.verified.podcast", 
  "dreambig.verified.podcast", 
  "dreamer.id.blockstack", 
  "dreaming4evers.stealthy.id", 
  "drfloyd.verified.podcast", 
  "driester.id.blockstack", 
  "drifting.id.blockstack", 
  "drinkchamps.verified.podcast", 
  "drlarsdingman.verified.podcast", 
  "drlauracalloftheday.verified.podcast", 
  "druhela.id.blockstack", 
  "drunksanddragons.verified.podcast"
]

影响
信息泄露

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月5日,下午3:39 UTC

菜单 菜单
这个页面一直到 https://core.blockstack.org/v1/subdomains?page=41 用户名都被泄露了。

myskar 将报告标题从"可以在 browser.blockstack.org 查看所有用户名"改为"可以在 https://core.blockstack.org 查看所有用户名",再改为"可在 https://core.blockstack.org 查看所有泄露的用户名"。
2018年7月5日,下午3:40 UTC

a-hiro 发表了一条评论。
2018年7月5日,下午3:44 UTC

菜单 菜单
所有这些名称都在公共区块链上公布。它们是公共信息——这个端点只是查询该区块链。

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月5日,下午3:49 UTC

菜单 菜单
这应该隐藏所有列表..攻击者可以公开发布..例如,如果blockstack的用户可以看到攻击者的博客..通过这种方式,攻击者可以使用户感到沮丧,新用户将完全失去在blockstack注册的兴趣.. :)

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月5日,下午3:50 UTC

菜单 菜单
新用户不会有太多耐心来解决这个问题,并认为blockstack不安全/不安全。

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月5日,下午4:14 UTC

菜单 菜单
我还建议这个子域名不应该可框架化..

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月6日,下午4:34 UTC

菜单 菜单
@ablankstein

a-hiro 关闭了报告并将状态改为"信息性"。
2018年7月6日,下午11:15 UTC

菜单 菜单
这些名称是公开的,并在区块链上公开宣布。此端点没有泄露任何非公开信息—将其关闭为信息性。

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月6日,下午11:54 UTC

菜单 菜单
@ablankstein 我们可以公开披露吗?

myskar 请求披露此报告。
2018年7月6日,下午11:54 UTC

ID认证 - 已成功完成身份验证检查的黑客。
myskar 发表了一条评论。
2018年7月6日,下午11:54 UTC

菜单 菜单
请 @ablankstein rafaelcr

Hiro 工作人员 同意披露此报告。
7天前

此报告已被披露。
7天前

报告于
2018年7月5日,下午3:26 UTC

报告者
myskar

报告给
Hiro

参与者

报告 ID
#377565

信息性

严重性
无评级 (—)

披露于
2025年10月31日,下午5:32 UTC

弱点

CVE ID

赏金

账户详情

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次