Шведская компания Resarchgruppen осуществила брутфорс хэшей MD5, которые соответствуют адресам электронной почты пользователей Disqus. Эта информация скрыта от посторонних глаз, но хакеры поставили цель выявить на «сайтах ненависти» сообщения, оставленные шведскими политиками анонимно.
Если верить Википедии, движок Disqus установлен на 750 тыс. сайтах, а аудитория сервиса превышает 50 млн человек. Так что уязвимость затрагивает очень многих людей.
Впрочем, сложно называть «уязвимостью» демонстрацию хэшей MD5 от адресов электронной почты. Брутфорс хэшей по радужным таблицам — это стандартная атака, так что ничего необычного здесь нет. Более того, специалисты давно указывали на потенциальную слабость защиты Disqus в этом отношении.
Специалист по безопасности Дэвид Ремал (David Remahl) показывает пример атаки.
https://disqus.com/api/3.0/users/details.json?user=username:davidremahl&api_secret=secret … → c185522a707e00cbac6d561b5de87676 == MD5(адрес)
http://www.xakep.ru/post/61733/
Пример похоже пофиксили.
Добавлено 12.12.13 в 12:44:49:
А вообще я думала что только через радужные таблицы можно брутить md5 хеши.
мд5 братить нельзя, его можно сравнивать, тобишь чекать на валид и не валид 
Дед Мороз, по моему та компания лучше знает что можно а что не льзя 
if(md5(\'vasijaУдалён == \'7f0c43779dcce5488ceb1f80d76d3bee\') echo \'валид\';
else echo \'не валид\';
для фомы ))
Дед Мороз, 
$login = \"Admin\";
$password = \"48503dfd58720bd5ff35c102065a52d7\"; //В реальности считывается из БД
if (($_GET[\'login\'] == $login) && (md5($_GET[\'password\']) == $password)) echo
???user=username:davidremahl&api_secret=secret … → c185522a707e00cbac6d561b5de87676
\"Welcome!\";
else echo \"Access denied\";
