• Zuhause
  • Artikel
  • Wie ich die E-Mails von 15.512 Kryptowährungsenthusiasten aus dem Slack exportierte.
Veröffentlicht am 24-02-2019

Wie ich die E-Mails von 15.512 Kryptowährungsenthusiasten aus dem Slack exportierte.

Slack weiß, aber es ist nicht ihr Problem.

Foto von Tom Sodoge auf Unsplash

Dies war buchstäblich ein dreistufiger Prozess.

Die Vertraulichkeit Ihrer Daten hängt stark von den Unternehmen ab, denen Sie vertrauen. Wenn sie das falsche Werkzeug für den Job wählen, werden Ihre Daten öffentlich. In diesem Fall haben 15 Unternehmen es falsch verstanden. Bei der Wahl des falschen Tools wurden die Namen, E-Mails und Zeitzonen für ihre Community angezeigt.

Während des Crypto Bull-Laufs von 2017 begannen viele Projekte, Slack für ihre Gemeinden einzusetzen. Um eine Zuteilung von Token zu erhalten, musste man sich auf die Whitelist setzen. Der erste Schritt war normalerweise der Community beizutreten.

Dann wurden die Spear-Phishing-Betrügereien dicht und schnell. Sie waren zeitlich genau und überzeugend.

Bei normalen E-Mail-Scams werden absichtliche Schreibfehler als Selbstauswahlmechanismus verwendet. Das Filtern von Personen auf der Basis von Leichtgläubigkeit verbessert die Rückkehr von Betrügern. Der Grund dafür, dass Betrüger nicht wollen, dass alle antworten, ist, dass sie mit jedem potenziellen Opfer interagieren müssen. Im Gegensatz zu regulären Betrügereien wurden diese E-Mails mit einem Gewinn von 10x + auf das epische Fear Of Missing Out getippt. Warum? Weil das Senden von Geld / Token an ein ICO zu 100% automatisiert ist. Im Gegensatz zu einem normalen Betrug können Sie nicht mit dem Betrüger interagieren.

Ich habe mich gefragt, wie sie meine E-Mail erhalten haben.

Ich hatte die Theorie, dass sie eine benutzerdefinierte Slack-App geschrieben haben, um an die Daten zu kommen. Mitte November beschloss ich, mich hinzusetzen und es herauszufinden. Zu diesem Zeitpunkt hatten viele der größeren Gemeinden Slack bereits abgeschlossen.

Es stellte sich heraus, dass ich keine einzige Codezeile schreiben musste.

Slack hat eine großartige interaktive Dokumentation.

Schritt 1 - Token erstellen

Zunächst benötigen Sie ein Token mit den richtigen Berechtigungen. Wenn Sie eine Schaltfläche zum Erstellen eines Tokens sehen, können Sie die Daten abrufen.

Link zu API-Dokumenten (Keine Sorge, ich habe das Token ungültig gemacht.)

Wenn die Schaltfläche "Request Token" oder "Die Nutzung der Slack-API wurde vom Administrator dieses Arbeitsbereichs deaktiviert wurde" angezeigt, wurde sie gesperrt.

Schritt 2 - Benutzerliste Endpunkt aufrufen

Sobald Sie ein Token haben, müssen Sie nur die interaktiven Slack-Dokumente verwenden, um Ihre Benutzerliste abzurufen.

Verknüpfung

Schritt 3 - Speichern Sie die Ausgabe

Und so einfach haben Sie alle Benutzer im Arbeitsbereich, inklusive E-Mail-Adressen!

Und das ist es. Einfach wie 1, 2, 3!

Welche Geschichten erzählen die Daten?

Wo befinden sich die Benutzer?

Amerika: 7,401
Europa: 4.177
Asien: 2.897
Afrika: 309
Australien: 276
Pazifik: 73
Indischer Ozean: 4

Top 20 der beliebtesten Zeitzonen

America / Los_Angeles: 3,571
Amerika / New York: 2.003
Europa / Amsterdam: 1.694
Asia / Kolkata: 978
Europa / London: 820
Amerika / Chicago: 617
Europa / Helsinki: 602
Asien / Chongqing: 452
Europa / Athen: 345
America / Denver: 313
Europa / Brüssel: 300
Amerika / Indiana / Indianapolis: 288
Asia / Kuala_Lumpur: 253
Asien / Bangkok: 240
Europa / Moskau: 227
Australien / Canberra: 161
America / Sao_Paulo: 149
Asien / Jerusalem: 132
Asien / Seoul: 118
Asien / Tokio: 116

Es ist wichtig anzumerken, dass die Zeitzone keine Stadt bedeutet. Die Zeitzone America / Los_Angeles umfasst die Tech-Hubs in Los Angeles, San Francisco und Seattle.

Beliebte E-Mail-Anbieter

gmail.com: 8.388
yahoo.com: 483
hotmail.com: 380
outlook.com: 171
protonmail.com: 165
consensys.net: 116
microsoft.com: 81
* aus Gründen des Datenschutzes entfernt *: 81
me.com: 67
yandex.ru: 63
mail.com: 62
live.com: 59
mail.ru: 58
icloud.com: 55
qq.com: 53
iki.fi: 45
ibm.com: 37
* aus Gründen des Datenschutzes entfernt *: 31
protonmail.ch: 29
gmx.de: 27
* Ich habe zwei der Domains entfernt, da sie ihre Lose nicht blockiert haben und noch offen ist.

Es gibt 307 Universitäts-E-Mail-Adressen von 156 Universitäten, von denen 23 aus Berkeley stammen.

Bemerkenswert waren auch 14 E-Mail-Adressen der Regierung, von denen 7 aus British Columbia stammen. Geh nach Kanada!

3.048 E-Mails hatten eindeutige Domains.

354 der E-Mails traten in mehr als einer lockeren Gruppe auf. Zwei davon waren in 4 der 15 lockeren Gruppen vertreten.

Es gibt auch eine Reihe von VC-E-Mail-Adressen. Ich werde nicht angeben, welche E-Mail-Adressen in einige Projekte investiert wurden. Ich würde sagen, wenn ich Kapital auftreiben würde, wären sie die Art von Investoren, die ich möchte.

Ist Slack schuld?

Ja Nein Vielleicht. Meistens nein.

„Slack ist ein Kollaborationszentrum für die Arbeit, egal welche Arbeit Sie machen. Es ist ein Ort, an dem Gespräche stattfinden, Entscheidungen getroffen werden und Informationen immer zur Hand sind. Mit Slack ist dein Team besser vernetzt. “

Slack ist ein Kommunikationsmittel für Teams.

Communities sind keine Teams. Teams werden vertraut. Jeder in Ihrem Team sollte in der Lage sein, auf Ihre E-Mail-Adresse zuzugreifen, nicht jeder in einer Online-Community.

Beachten Sie, dass das Token ein ziemlich unterschiedliches Format hat: xoxp-12345678901–1234567890123. So unverwechselbar, dass es einfach ist, nach Github eingecheckten Tokens zu suchen.

‍♀ ‍♂

Verwenden Sie Umgebungsvariablen Menschen!

Zum Glück löst Slack dies, indem es nach festgeschriebenen Tokens sucht und diese ungültig macht.

Sie fragen sich vielleicht, was ich mit diesem Wissen gemacht habe.

Als netter Kerl ließ ich die meisten der betroffenen Projekte natürlich wissen, ich habe sogar ein paar Fehler-Kopfgelder daraus erzielt

Der Gründer eines der Projekte war für mich auf der Consensus-Konferenz ein Idiot, daher habe ich sie nicht benachrichtigt. Moral der Geschichte? Seien Sie immer nett zu Menschen, besonders den ruhigen

Wenn Sie benachrichtigt werden möchten, wenn ich einen neuen Artikel veröffentliche, tragen Sie sich bitte in meine Mailingliste ein.

Siehe auch

Woche zwei: Wie ich herausfand, dass mein Kredit-Score Müll war, und wie Sie Ihre (Revolut, Clearscore…So implementieren Sie die lokale Erfüllung für Google Assistant-Aktionen mithilfe von DialogflowGeheimnisse der New York City SubwayWie können Sie mit React Context helfen, wenn Sie Redux nicht kennen?So richten Sie eine responsive UI-Suche in Vue.js ein