Gravatar dit qu'il n'a pas été piraté après que le service "Have I Been Pwned" informe les utilisateurs d'une violation

Publié: 2021-12-07

Gravatar répond aux questions aujourd'hui après "Have I Been Pwned", un service de vérification de la culasse des données, a tweeté " Nouvelles données grattées : Gravatar avait 167 millions de profils grattés en octobre de l'année dernière via un vecteur d'énumération. 114 millions de hachages d'adresses e-mail MD5 ont ensuite été craqués et distribués avec des noms et des noms d'utilisateur. « Il affirme que 72 % de ces adresses e-mail étaient déjà enregistrées avec le service.

Le tweet faisait référence à un article de BleepingComputer d'octobre 2020 intitulé "Le service d'avatar en ligne Gravatar permet la collecte massive d'informations sur l'utilisateur", qui explique comment les hachages ont été obtenus à l'origine. Après que le chercheur italien en sécurité Carlo Di Dato n'ait pas pu obtenir de réponse de Gravatar, il a démontré à la publication comment on pouvait accéder aux données des utilisateurs en utilisant un identifiant numérique associé à chaque profil pour les récupérer. Il a ensuite écrit un script de test qui visite séquentiellement les URL de profil des ID 1 à 5000 et a déclaré qu'il était en mesure de collecter les données JSON des 5000 premiers utilisateurs de Gravatar sans aucun problème.

De nombreux utilisateurs de Gravatar ont été surpris et bouleversés par les avis de Firefox Monitor et Have I Been Pwned ce matin, déclarant que leurs informations étaient apparues dans une nouvelle violation de données.

Oh cmon, façon de gâcher ma journée @gravatar pic.twitter.com/FsmxkL7zpq
– Lundy (@simplyeazy) 6 décembre 2021

L'article de BleepingComputer a attiré plus d'attention après la divulgation de Have I Been Pwned aujourd'hui, incitant Gravatar à répondre sur Twitter :

Gravatar aide à établir votre identité en ligne avec un profil authentifié. Nous sommes au courant de la conversation en ligne qui prétend que Gravatar a été piraté, nous voulons donc dissiper la désinformation.

Gravatar n'a pas été piraté. Notre service vous permet de contrôler les données que vous souhaitez partager en ligne. Les données que vous choisissez de partager publiquement sont mises à disposition via notre API. Les utilisateurs peuvent choisir de partager leur nom complet, leur nom d'affichage, leur emplacement, leur adresse e-mail et une courte biographie.
L'année dernière, un chercheur en sécurité a récupéré les données publiques de Gravatar - les noms d'utilisateur et les hachages MD5 des adresses e-mail utilisés pour référencer les avatars des utilisateurs en abusant de notre API. Nous avons immédiatement corrigé la possibilité de récolter en masse les données de profil public. Si vous souhaitez en savoir plus sur le fonctionnement de Gravatar ou ajuster les données partagées sur votre profil, rendez-vous sur Gravatar.com.

Gravatar ne considère pas l'incident comme une violation de données, c'est pourquoi le service n'a pas divulgué les modifications apportées en réponse au chercheur en sécurité en 2020.

Le service appartenant à Automattic est utilisé sur les sites Web WordPress, GitHub, Stackoverflow et d'autres endroits en ligne. Les chercheurs en sécurité et les défenseurs de la vie privée ont mis en garde contre les attaques contre la vie privée sur Gravatar pendant des années. Beaucoup ont démontré à quel point les informations des utilisateurs sont facilement disponibles et à quel point il est facile de les récupérer.

Quelqu'un l'a fait un peu plus grand récemment. Il semble qu'il n'y ait rien de nouveau dans le monde. #gravatar https://t.co/5ZxyGYYBR0
– jasperwillem (@jasperwillem) 6 décembre 2021

En juillet 2013, Dominique Bongard a pris la parole à la Passwordscon de Las Vegas sur la désanonymisation des membres des forums politiques français. Il a expliqué comment un robot d'exploration personnalisé pouvait être écrit pour acquérir des hachages MD5 pour les utilisateurs du forum et a démontré qu'une attaque avec un logiciel de craquage personnalisé était capable de récupérer 70 % des adresses e-mail des utilisateurs de Gravatar.

Bogard a noté que la désanonymisation des membres des forums politiques peut être particulièrement dangereuse dans les endroits où les utilisateurs des forums n'ont aucun droit constitutionnel à la liberté d'expression, ou où les participants peuvent être susceptibles d'être harcelés ou attaqués.

Wordfence a publié un avis concernant Gravatar en 2016, qui faisait référence aux recherches de Bongard, ainsi qu'à des travaux antérieurs effectués en 2009 où un chercheur a prouvé qu'il pouvait désosser environ 10% des hachages gravatar dans des adresses e-mail.

Le fondateur et PDG de Wordfence, Mark Maunder, a expliqué comment l'utilisation de hachages d'adresses e-mail peut amener les gens à googler le hachage extrait pour trouver d'autres sites Web et services qu'un individu utilise.

"Par exemple : un utilisateur peut être à l'aise de voir son nom complet et sa photo de profil apparaître sur un site Web consacré au ski", a déclaré Maunder. «Mais ils ne veulent peut-être pas que leur nom ou leur identité soient exposés au public sur un site Web spécialisé dans une condition médicale. Une personne recherchant cet individu pourrait extraire son hachage Gravatar du site Web de ski avec son nom complet. Ils pourraient alors rechercher le hachage sur Google et déterminer que la personne souffre d'un problème de santé qu'ils souhaitaient garder secret.

De nombreux utilisateurs de Gravatar n'étaient pas satisfaits de l'explication du service selon laquelle toutes les informations saisies par les utilisateurs étaient publiques, ce qui a empêché l'incident d'être qualifié de violation. Dans la même explication, cependant, le service affirme que l'API a été abusée, au lieu d'admettre qu'elle était vulnérable et aurait pu être mieux protégée.

Après des années de chercheurs démontrant que cela était possible, le scraping de Gravatar est-il une acquisition de données contraire à l'éthique parce que le scraper abuse de l'architecture du service ? Ou est-ce contraire à l'éthique que Gravatar ait permis de récolter en masse des données de profil pendant des années ?

Cela ressemble à vos données ont été consultées d'une manière que vous n'aviez pas l'intention (si seulement il y avait un mot pour cela), mais vous ne vouliez pas l'être ?
– Christopher Foster (@ CF99) 6 décembre 2021

"Si quelqu'un est capable d'utiliser une API à d'autres fins que celles prévues et peut collecter des informations qui autrement ne seraient pas disponibles par des moyens" standard "... c'est une violation", a commenté l'utilisateur de Twitter @RegGBlinker à ce sujet.

Gravatar veut sans doute minimiser les dommages causés par les notifications de violation envoyées ce matin à ses utilisateurs, mais en faire une question de sémantique n'était pas rassurant. La plupart des utilisateurs n'avaient pas l'intention de partager leurs e-mails Gravatar avec quiconque a la motivation de récupérer les données exposées pour la récolte. Même si ces données ont été déversées par « abus » de leur API, cela ressemble à une violation pour ceux qui s'attendaient à ce que les données des utilisateurs ne soient pas disponibles pour être distribuées ailleurs.

L'incident rappelle que, comme l'a souligné Gravatar aujourd'hui, les données que les utilisateurs choisissent de partager publiquement sont mises à disposition par l'API du service et ne sont pas privées. En tant qu'utilisateur, il y a des risques à profiter de la commodité de ne pas avoir à télécharger votre photo de profil plusieurs fois sur différents sites Web. Les éditeurs qui souhaitent que leurs sites offrent une option plus soucieuse de la confidentialité devraient se tourner vers des alternatives telles que Local Gravatars ou Pixel Avatars.