يقول Gravatar إنه لم يتم اختراقه بعد أن قامت خدمة "Have I been Pwned" بإخطار المستخدمين بوقوع خرق

نشرت: 2021-12-07

قامت Gravatar بإرسال أسئلة اليوم بعد "Have I been Pwned" ، وهي خدمة مدقق بيانات المقعد ، تغرد " بيانات جديدة مقطوعة: كان لدى Gravatar 167 مليون ملف تعريف تم مسحها في أكتوبر من العام الماضي عبر ناقل تعداد. تم بعد ذلك كسر 114M من تجزئات عنوان البريد الإلكتروني MD5 وتوزيعها جنبًا إلى جنب مع الأسماء وأسماء المستخدمين. " تدعي أن 72٪ من عناوين البريد الإلكتروني هذه قد تم تسجيلها بالفعل في الخدمة.

أشارت التغريدة إلى مقالة BleepingComputer من أكتوبر 2020 بعنوان "تتيح خدمة الصور الرمزية عبر الإنترنت Gravatar تجميعًا جماعيًا لمعلومات المستخدم" ، وهو ما يشرح كيفية الحصول على التجزئة في الأصل. بعد أن تعذر على الباحث الأمني الإيطالي كارلو دي داتو الحصول على إجابة من Gravatar ، أوضح للمنشور كيف يمكن للمرء الوصول إلى بيانات المستخدم باستخدام معرف رقمي مرتبط بكل ملف تعريف لجلبها. ثم كتب نصًا اختباريًا يزور بشكل متتابع عناوين URL للملف الشخصي من معرفات 1 إلى 5000 وقال إنه كان قادرًا على جمع بيانات JSON لأول 5000 مستخدم من Gravatar دون مشاكل.

أصيب العديد من مستخدمي Gravatar بالدهشة والانزعاج من الإشعارات الواردة من Firefox Monitor و Have I been Pwned هذا الصباح ، والتي تفيد بأن معلوماتهم ظهرت في خرق جديد للبيانات.

يا شمون طريقة لتخريب يوميgravatar pic.twitter.com/FsmxkL7zpq
- Lundy (simplyeazy) 6 ديسمبر 2021

اكتسبت مقالة BleepingComputer مزيدًا من الاهتمام بعد إفصاح Have I been Pwned اليوم ، مما دفع Gravatar للرد على Twitter:

يساعد Gravatar في إثبات هويتك عبر الإنترنت باستخدام ملف تعريف مصدق. نحن على علم بالمحادثة عبر الإنترنت التي تدعي اختراق Gravatar ، لذلك نريد توضيح المعلومات المضللة.
لم يتم اختراق Gravatar. تمنحك خدمتنا التحكم في البيانات التي تريد مشاركتها عبر الإنترنت. يتم توفير البيانات التي تختار مشاركتها بشكل عام عبر واجهة برمجة التطبيقات الخاصة بنا. يمكن للمستخدمين اختيار مشاركة الاسم الكامل واسم العرض والموقع وعنوان البريد الإلكتروني وسيرة ذاتية قصيرة.

في العام الماضي ، قام باحث أمني بكشط بيانات Gravatar العامة - أسماء المستخدمين وتجزئة MD5 لعناوين البريد الإلكتروني المستخدمة للإشارة إلى الصور الرمزية للمستخدمين عن طريق إساءة استخدام واجهة برمجة التطبيقات الخاصة بنا. قمنا على الفور بتصحيح القدرة على حصاد بيانات الملف الشخصي العامة بشكل جماعي. إذا كنت تريد معرفة المزيد حول كيفية عمل Gravatar أو ضبط البيانات المشتركة في ملفك الشخصي ، يرجى زيارة Gravatar.com.

لا تعتبر Gravatar الحادث بمثابة خرق للبيانات ، ولهذا السبب لم تفصح الخدمة عن التغييرات التي تم إجراؤها استجابةً للباحث الأمني في عام 2020.

يتم استخدام الخدمة المملوكة لـ Automattic عبر مواقع WordPress و GitHub و Stackoverflow وأماكن أخرى عبر الإنترنت. حذر باحثو الأمن والمدافعون عن الخصوصية من هجمات الخصوصية على Gravatar لسنوات. لقد أظهر الكثيرون مدى سهولة توفر معلومات المستخدم ومدى سهولة التخلص منها.

شخص ما فعلها أكبر قليلاً مؤخرًا. يبدو أنه لا يوجد شيء جديد في العالم. # جرافاتار https://t.co/5ZxyGYYBR0
- jasperwillem (jasperwillem) 6 ديسمبر 2021

في يوليو 2013 ، تحدث دومينيك بونجارد في Passwordscon في لاس فيجاس حول إزالة إخفاء هوية أعضاء المنتديات السياسية الفرنسية. وأوضح كيف يمكن كتابة زاحف مخصص لاكتساب تجزئة MD5 لمستخدمي المنتدى وأظهر أن هجومًا باستخدام برنامج تكسير مخصص كان قادرًا على استعادة 70٪ من عناوين البريد الإلكتروني لمستخدمي Gravatar.

وأشار بوجارد إلى أن إزالة إخفاء هوية أعضاء المنتديات السياسية يمكن أن يكون خطيرًا بشكل خاص في الأماكن التي لا يتمتع فيها مستخدمو المنتديات بحق دستوري في حرية التعبير ، أو حيث من المحتمل أن يتعرض المشاركون للمضايقة أو الهجوم.

نشر Wordfence تقريرًا استشاريًا بشأن Gravatar في عام 2016 ، والذي أشار إلى بحث Bongard ، بالإضافة إلى العمل السابق الذي تم إنجازه في عام 2009 حيث أثبت أحد الباحثين أنه يستطيع عكس هندسة ما يقرب من 10٪ من تجزئات Gravatar في عناوين البريد الإلكتروني.

أوضح مؤسس Wordfence والرئيس التنفيذي Mark Maunder كيف يمكن أن يؤدي استخدام تجزئة عناوين البريد الإلكتروني إلى قيام الأشخاص بالبحث عن التجزئة المستخرجة على Google للعثور على مواقع الويب والخدمات الأخرى التي يستخدمها الفرد.

قال ماوندر: "على سبيل المثال: قد يشعر المستخدم بالراحة عند ظهور اسمه الكامل وصورة ملفه الشخصي على موقع ويب حول التزلج". لكنهم قد لا يرغبون في الكشف عن اسمهم أو هويتهم للجمهور على موقع ويب متخصص في حالة طبية. يمكن لأي شخص يبحث عن هذا الفرد استخراج تجزئة Gravatar من موقع التزلج على الجليد مع اسمه الكامل. يمكنهم بعد ذلك البحث في محرك بحث Google وتحديد ما إذا كان الفرد يعاني من حالة طبية يريدون الحفاظ على خصوصيتها ".

لم يكن العديد من مستخدمي Gravatar راضين عن تفسير الخدمة بأن جميع المعلومات التي أدخلها المستخدمون كانت عامة ، مما أدى إلى استبعاد الحادث من تصنيفه على أنه خرق. في نفس التفسير ، ومع ذلك ، تدعي الخدمة أن API قد تم إساءة استخدامه ، بدلاً من الاعتراف بأنه كان ضعيفًا وكان من الممكن حمايته بشكل أفضل.

بعد سنوات من إظهار الباحثين أن هذا كان ممكنًا ، هل يعد تجريف Gravatar عملية اكتساب بيانات غير أخلاقية لأن الكاشطة تسيء استخدام بنية الخدمة؟ أم أنه من غير الأخلاقي أن تجعل Gravatar من الممكن حصاد بيانات الملف الشخصي بشكل جماعي لسنوات؟

يبدو أنه تم الوصول إلى بياناتك بطريقة لم تقصدها (إذا كان هناك كلمة واحدة فقط لذلك) ، لكنك لم تقصد ذلك؟

- كريستوفر فوستر (@ CF99) 6 ديسمبر 2021

علق مستخدم TwitterRegGBlinker على الأمر: "إذا كان شخص ما قادرًا على استخدام واجهة برمجة التطبيقات لأغراض غير الغرض المقصود منها ويمكنه جمع المعلومات التي لن تكون متاحة بخلاف ذلك من خلال الوسائل" القياسية "... فهذا خرق".

تريد Gravatar بلا شك تقليل الضرر الذي تسببه إشعارات الانتهاك التي تم إرسالها هذا الصباح لمستخدميها ، لكن جعل هذا الأمر مسألة دلالات لم يكن مطمئنًا. لم يقصد معظم المستخدمين مشاركة رسائل البريد الإلكتروني الخاصة بهم من Gravatar مع أي شخص لديه الدافع لكشط البيانات التي تم الكشف عنها للحصاد. حتى لو تم إغراق هذه البيانات من خلال "إساءة استخدام" واجهة برمجة التطبيقات الخاصة بهم ، فإن ذلك يبدو وكأنه خرق لأولئك الذين توقعوا أن بيانات المستخدم لن تكون متاحة للتوزيع في مكان آخر.

يمثل الحادث تذكيرًا ، كما أكد Gravatar اليوم ، أن البيانات التي يختار المستخدمون مشاركتها للجمهور متاحة بواسطة واجهة برمجة التطبيقات للخدمة وليست خاصة. كمستخدم ، هناك مخاطر للاستمتاع براحة عدم الاضطرار إلى تحميل صورة ملفك الشخصي عدة مرات عبر مواقع الويب المختلفة. يجب على الناشرين الذين يريدون أن تقدم مواقعهم خيارًا أكثر وعيًا بالخصوصية أن يبحثوا عن بدائل مثل Local Gravatars أو Pixel Avatars.