Gravatar dice que no fue pirateado después de que el servicio "Have I Been Pwned" notifique a los usuarios sobre una infracción

Publicado: 2021-12-07

Gravatar está respondiendo preguntas hoy después de que "Have I Been Pwned", un servicio de verificación de datos, tuiteara " Nuevos datos raspados: Gravatar tenía 167 millones de perfiles raspados en octubre del año pasado a través de un vector de enumeración. Posteriormente, se descifraron y distribuyeron 114 millones de hashes de direcciones de correo electrónico MD5 junto con nombres y nombres de usuario. Afirma que el 72% de estas direcciones de correo electrónico ya estaban registradas en el servicio.

El tweet hacía referencia a un artículo de BleepingComputer de octubre de 2020 titulado "El servicio de avatar en línea Gravatar permite la recopilación masiva de información del usuario", que explica cómo se obtuvieron originalmente los hash. Después de que el investigador de seguridad italiano Carlo Di Dato no pudiera obtener una respuesta de Gravatar, demostró a la publicación cómo se puede acceder a los datos del usuario mediante el uso de una identificación numérica asociada con cada perfil para obtenerla. Luego escribió una secuencia de comandos de prueba que visita secuencialmente las URL de los perfiles de ID 1 a 5000 y dijo que pudo recopilar datos JSON de los primeros 5000 usuarios de Gravatar sin problemas.

Muchos usuarios de Gravatar se sorprendieron y molestaron por los avisos de Firefox Monitor y Have I Been Pwned esta mañana, que indicaban que su información había aparecido en una nueva violación de datos.

Oh, vamos, manera de arruinar mi día @gravatar pic.twitter.com/FsmxkL7zpq
– Lundy (@simplyeazy) 6 de diciembre de 2021

El artículo de BleepingComputer ha ganado más atención después de la divulgación de Have I Been Pwned hoy, lo que llevó a Gravatar a responder en Twitter:

Gravatar ayuda a establecer su identidad en línea con un perfil autenticado. Somos conscientes de la conversación en línea que afirma que Gravatar fue pirateado, por lo que queremos aclarar la información errónea.

Gravatar no fue pirateado. Nuestro servicio le da control sobre los datos que desea compartir en línea. Los datos que elige compartir públicamente están disponibles a través de nuestra API. Los usuarios pueden optar por compartir su nombre completo, nombre para mostrar, ubicación, dirección de correo electrónico y una breve biografía.
El año pasado, un investigador de seguridad extrajo datos públicos de Gravatar: nombres de usuario y hash MD5 de direcciones de correo electrónico utilizadas para hacer referencia a los avatares de los usuarios abusando de nuestra API. Inmediatamente parcheamos la capacidad de recolectar los datos del perfil público en masa. Si desea obtener más información sobre cómo funciona Gravatar o ajustar los datos compartidos en su perfil, visite Gravatar.com.

Gravatar no considera que el incidente sea una violación de datos, por lo que el servicio no reveló los cambios realizados en respuesta al investigador de seguridad en 2020.

El servicio propiedad de Automattic se usa en sitios web de WordPress, GitHub, Stackoverflow y otros lugares en línea. Los investigadores de seguridad y los defensores de la privacidad han advertido sobre los ataques a la privacidad en Gravatar durante años. Muchos han demostrado lo fácilmente que está disponible la información del usuario y lo fácil que es rasparla.

Alguien lo hizo un poco más grande recientemente. Parece que no hay nada nuevo en el mundo. #gravatar https://t.co/5ZxyGYYBR0

– jasperwillem (@jasperwillem) 6 de diciembre de 2021

En julio de 2013, Dominique Bongard habló en Passwordscon en Las Vegas sobre la eliminación del anonimato de los miembros de los foros políticos franceses. Explicó cómo se podría escribir un rastreador personalizado para adquirir hash MD5 para los usuarios del foro y demostró que un ataque con software de craqueo personalizado pudo recuperar el 70% de las direcciones de correo electrónico de los usuarios de Gravatar.

Bogard señaló que eliminar el anonimato de los miembros de los foros políticos puede ser particularmente peligroso en lugares donde los usuarios de los foros no tienen derecho constitucional a la libertad de expresión, o donde es probable que los participantes sean acosados o atacados.

Wordfence publicó un aviso sobre Gravatar en 2016, que hacía referencia a la investigación de Bongard, así como un trabajo anterior realizado en 2009, donde un investigador demostró que podía aplicar ingeniería inversa a ~10 % de los hashes de Gravatar en direcciones de correo electrónico.

El fundador y director ejecutivo de Wordfence, Mark Maunder, explicó cómo el uso de hashes de direcciones de correo electrónico puede llevar a las personas a buscar en Google el hash extraído para encontrar otros sitios web y servicios que está utilizando una persona.

“Por ejemplo: un usuario puede sentirse cómodo con que su nombre completo y su foto de perfil aparezcan en un sitio web sobre esquí”, dijo Maunder. “Pero es posible que no quieran que su nombre o identidad se expongan al público en un sitio web especializado en una afección médica. Alguien que investigue a este individuo podría extraer su hash de Gravatar del sitio web de esquí junto con su nombre completo. Luego podrían buscar el hash en Google y determinar que el individuo sufre de una condición médica que querían mantener en privado”.

Muchos usuarios de Gravatar no quedaron satisfechos con la explicación del servicio de que toda la información ingresada por los usuarios era pública, lo que descalificaba el incidente para que no se considerara una infracción. Sin embargo, en la misma explicación, el servicio afirma que se abusó de la API, en lugar de admitir que era vulnerable y podría haber estado mejor protegida.

Después de años de investigadores que demostraron que esto era posible, ¿raspar Gravatar es una adquisición de datos poco ética porque el raspador está abusando de la arquitectura del servicio? ¿O no es ético que Gravatar haya hecho posible recopilar datos de perfil en masa durante años?

Parece que se accedió a sus datos de una manera que no pretendía (si tan solo hubiera una palabra para eso), pero ¿no era su intención?
– Christopher Foster (@ CF99) 6 de diciembre de 2021

“Si alguien es capaz de utilizar una API para un propósito distinto al previsto y puede recopilar información que de otro modo no estaría disponible a través de medios 'estándar'… es una infracción”, comentó el usuario de Twitter @RegGBlinker sobre el asunto.

Indudablemente, Gravatar quiere minimizar el daño causado por los avisos de incumplimiento enviados esta mañana a sus usuarios, pero hacer de esto un problema de semántica no fue tranquilizador. La mayoría de los usuarios no tenían la intención de compartir sus correos electrónicos de Gravatar con quien tuviera la motivación de raspar los datos que estaban expuestos para su recolección. Incluso si esos datos se volcaron a través del "abuso" de su API, se siente como una violación para aquellos que esperaban que los datos de los usuarios no estuvieran disponibles para su distribución en otros lugares.

El incidente sirve como un recordatorio de que, como enfatizó Gravatar hoy, los datos que los usuarios eligen compartir públicamente están disponibles mediante la API del servicio y no son privados. Como usuario, existen riesgos al disfrutar de la comodidad de no tener que cargar su foto de perfil varias veces en varios sitios web. Los editores que deseen que sus sitios ofrezcan una opción más consciente de la privacidad deben buscar alternativas como Local Gravatars o Pixel Avatars.