Visite também: UnderLinux ·  Dicas-L ·  SoftwareLivre.org ·  [mais] ·  Currículo ·  Efetividade ·  Arduino

Prova de conceito: o comando ssh whoami.filippo.io pode identificar usuários anônimos

Um aspecto interessante (e crítico) dos serviços interconectados é que as informações pessoais disponíveis em alguns deles podem ser cruzadas entre si, multiplicando ou alavancando a exposição que provocam.

Esse tipo de interação às vezes acontece de formas inesperadas, e é o que o comando ssh whoami.filippo.io demonstra, conforme explicado no link ao final deste post: ele se aproveita do envio (default) da chave pública do usuário na tentativa de conexão ssh, para consultar uma base de dados (publicamente disponível) das chaves públicas de usuários que têm contas no Github, demonstrando quanta informação pode ser obtida a partir da identificação do usuário por uma chave que, por natureza, é compartilhada publicamente sem maiores preocupações.

Claro que só tera algum efeito para quem tem conta no Github e armazenou nela a sua chave pública :) Mas provavelmente isso inclui grande parte do público-alvo dessa prova de conceito... (via blog.filippo.io - “ssh whoami.filippo.io”)

Comentar

 
comments powered by Disqus

Comentários arquivados