Leak des adresses IPs chez ImageShack

Alors que la sécurité du site ImageShack.us était tournée au ridicule dans un ezine récent, un internaute s’est penché sur les scripts leakés de ce service d’hébergement et a découvert comment obtenir l’adresse IP de la personne à l’origine d’un upload sur ce service…

Bref une totale dé-anonymisation de ce service sans passer par la case FBI :p

L’algo en question consiste à calculer la somme md5 d’une partie de l’url d’une image concaténé à une clé plus si secrète que ça (ta onomata).
On ajoute alors ce hash et l’extension .xml à l’url de l’image et on obtient un fichier XML de ce type révélant l’adresse IP de l’uploader.

Une page web par le même internaute permettait d’obtenir l’IP d’un uploader simplement en soumettant l’url d’une image mais ImageShack a colmaté la faille.

Au vu de l’exposition de ces données on peut se demander si certains « services » n’avaient pas un accès à ces informations…