Jag tycker tyvärr din artikel verkar tyda på en stor okunskap om hur det egentligen gick till när Disqus "hackades". Du hänvisar till dataintrång och konstaterar det självklara att en handling med en brottsrubricering är ett brott, men på inget sätt hur det skulle relatera till Disqus (och Gravatar, som trots allt var attackvektorn).
Gravatar är en centraliserad tjänst för profilbilder där det är tänkt att en användares uppgifter (mailadress i det här fallet) ska kunna användas som unik nyckel för alla webbsajter som vill komplettera sina användarprofiler med en bild på personen utan att behöva implementera en egen bilduppladdning/tvinga användaren att uppdatera sin avatar på flera olika sajter i framtiden.
Nyckeln genereras som en MD5-summa av mailadressen och skickas till Gravatar som svarar med den matchade användaren. MD5 går förstås inte att vända till sin ursprungstext matematiskt, men har man databaser med mailadresser kan man helt sonika generera MD5-nycklar av dem och gör anrop till Gravatar. Allt detta görs via Gravatars egna API och är i själva verket grunden till varför Gravatar blivit så populär eftersom man kan ta sin befintliga användardata och komplettera med profilbilder utan användarens inblandning.
All information som användes i grävandet kom från publika (dåligt designade) API'n, så du får gärna utveckla vilken del av ovanstående som innebär "dataintrång" enligt din och/eller statens mening.
Jag tycker tyvärr din artikel verkar tyda på en stor okunskap om hur det egentligen gick till när Disqus "hackades". Du hänvisar till dataintrång och konstaterar det självklara att en handling med en brottsrubricering är ett brott, men på inget sätt hur det skulle relatera till Disqus (och Gravatar, som trots allt var attackvektorn).
Gravatar är en centraliserad tjänst för profilbilder där det är tänkt att en användares uppgifter (mailadress i det här fallet) ska kunna användas som unik nyckel för alla webbsajter som vill komplettera sina användarprofiler med en bild på personen utan att behöva implementera en egen bilduppladdning/tvinga användaren att uppdatera sin avatar på flera olika sajter i framtiden.
Nyckeln genereras som en MD5-summa av mailadressen och skickas till Gravatar som svarar med den matchade användaren. MD5 går förstås inte att vända till sin ursprungstext matematiskt, men har man databaser med mailadresser kan man helt sonika generera MD5-nycklar av dem och gör anrop till Gravatar. Allt detta görs via Gravatars egna API och är i själva verket grunden till varför Gravatar blivit så populär eftersom man kan ta sin befintliga användardata och komplettera med profilbilder utan användarens inblandning.
All information som användes i grävandet kom från publika (dåligt designade) API'n, så du får gärna utveckla vilken del av ovanstående som innebär "dataintrång" enligt din och/eller statens mening.