Gravatar Mengatakan Itu Tidak Diretas Setelah Layanan "Apakah Saya Telah Digadaikan" Memberitahu Pengguna tentang Pelanggaran

Diterbitkan: 2021-12-07

Gravatar mengajukan pertanyaan hari ini setelah "Apakah Saya Telah Dimiliki," layanan pemeriksa sungsang data, men-tweet, " Data tergores baru: Gravatar memiliki 167 juta profil tergores pada Oktober tahun lalu melalui vektor enumerasi. 114 juta hash alamat email MD5 kemudian diretas dan didistribusikan bersama nama dan nama pengguna. “ Ia mengklaim 72% dari alamat email ini sudah login dengan layanan.

Tweet tersebut merujuk pada artikel BleepingComputer dari Oktober 2020 berjudul, "Layanan avatar online Gravatar memungkinkan pengumpulan massal info pengguna," yang menjelaskan bagaimana hash awalnya diperoleh. Setelah peneliti keamanan Italia Carlo Di Dato tidak dapat memperoleh jawaban dari Gravatar, ia menunjukkan kepada publikasi bagaimana seseorang dapat mengakses data pengguna dengan menggunakan ID numerik yang terkait dengan setiap profil untuk mengambilnya. Dia kemudian menulis skrip pengujian yang secara berurutan mengunjungi URL profil dari ID 1 hingga 5000 dan mengatakan bahwa dia dapat mengumpulkan data JSON dari 5000 pengguna Gravatar pertama tanpa masalah.

Banyak pengguna Gravatar terkejut dan kesal dengan pemberitahuan dari Firefox Monitor dan Have I Been Pwned pagi ini, yang menyatakan bahwa informasi mereka telah muncul dalam pelanggaran data baru.

Oh cmon, cara untuk merusak hariku @gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 6 Desember 2021

Artikel BleepingComputer telah mendapatkan lebih banyak perhatian setelah pengungkapan Have I Been Pwned hari ini, mendorong Gravatar untuk menanggapi di Twitter:

Gravatar membantu membangun identitas Anda secara online dengan profil yang diautentikasi. Kami mengetahui percakapan online yang mengklaim Gravatar telah diretas, jadi kami ingin menjernihkan informasi yang salah.

Gravatar tidak diretas. Layanan kami memberi Anda kendali atas data yang ingin Anda bagikan secara online. Data yang Anda pilih untuk dibagikan secara publik tersedia melalui API kami. Pengguna dapat memilih untuk membagikan nama lengkap, nama tampilan, lokasi, alamat email, dan biografi singkat mereka.
Tahun lalu, seorang peneliti keamanan menggores data publik Gravatar – nama pengguna dan hash MD5 dari alamat email yang digunakan untuk mereferensikan avatar pengguna dengan menyalahgunakan API kami. Kami segera menambal kemampuan untuk memanen data profil publik secara massal. Jika Anda ingin mempelajari lebih lanjut tentang cara kerja Gravatar atau menyesuaikan data yang dibagikan di profil Anda, silakan kunjungi Gravatar.com.

Gravatar tidak menganggap insiden itu sebagai pelanggaran data, itulah sebabnya layanan tidak mengungkapkan perubahan yang dibuat sebagai tanggapan terhadap peneliti keamanan pada tahun 2020.

Layanan milik Automattic digunakan di seluruh situs WordPress, GitHub, Stackoverflow, dan tempat lain secara online. Peneliti keamanan dan pendukung privasi telah memperingatkan tentang serangan privasi di Gravatar selama bertahun-tahun. Banyak yang telah menunjukkan betapa tersedianya informasi pengguna dan betapa mudahnya untuk mengikisnya.

Seseorang melakukannya sedikit lebih besar baru-baru ini. Sepertinya tidak ada yang baru di dunia ini. #gravatar https://t.co/5ZxyGYYBR0

— jasperwillem (@jasperwillem) 6 Desember 2021

Pada Juli 2013, Dominique Bongard berbicara di Passwordscon di Las Vegas tentang De-anonimisasi Anggota Forum Politik Prancis. Dia menjelaskan bagaimana crawler kustom dapat ditulis untuk memperoleh hash MD5 untuk pengguna forum dan menunjukkan bahwa serangan dengan perangkat lunak cracking kustom mampu memulihkan 70% dari alamat email pengguna Gravatar.

Bogard mencatat bahwa de-anonim anggota forum politik bisa sangat berbahaya di tempat-tempat di mana pengguna forum tidak memiliki hak konstitusional untuk kebebasan berbicara, atau di mana peserta mungkin akan dilecehkan atau diserang.

Wordfence menerbitkan sebuah nasihat tentang Gravatar pada tahun 2016, yang merujuk pada penelitian Bongard, serta pekerjaan sebelumnya yang dilakukan pada tahun 2009 di mana seorang peneliti membuktikan bahwa ia dapat merekayasa balik ~ 10% hash gravatar menjadi alamat email.

Pendiri dan CEO Wordfence Mark Maunder menjelaskan bagaimana menggunakan hash alamat email dapat mengarahkan orang ke googling hash yang diekstraksi untuk menemukan situs web dan layanan lain yang digunakan seseorang.

“Misalnya: Seorang pengguna mungkin merasa nyaman memiliki nama lengkap dan foto profil mereka yang muncul di situs web tentang ski,” kata Maunder. “Tetapi mereka mungkin tidak ingin nama atau identitas mereka diekspos ke publik di situs web yang mengkhususkan diri dalam kondisi medis. Seseorang yang meneliti individu ini dapat mengekstrak hash Gravatar mereka dari situs web ski bersama dengan nama lengkap mereka. Mereka kemudian dapat meng-Google hash dan menentukan bahwa individu tersebut menderita kondisi medis yang ingin mereka rahasiakan.”

Banyak pengguna Gravatar tidak puas dengan penjelasan layanan bahwa semua informasi yang dimasukkan pengguna bersifat publik, yang mendiskualifikasi insiden tersebut agar tidak dicap sebagai pelanggaran. Namun, dalam penjelasan yang sama, layanan tersebut mengklaim bahwa API telah disalahgunakan, alih-alih mengakui bahwa itu rentan dan seharusnya dapat dilindungi dengan lebih baik.

Setelah bertahun-tahun peneliti menunjukkan bahwa ini mungkin, apakah menggores Gravatar merupakan akuisisi data yang tidak etis karena pengikis menyalahgunakan arsitektur layanan? Atau apakah tidak etis jika Gravatar memungkinkan untuk memanen data profil secara massal selama bertahun-tahun?

Kedengarannya seperti data Anda diakses dengan cara yang tidak Anda inginkan (jika hanya ada kata untuk itu), tetapi Anda tidak bermaksud demikian?
— Christopher Foster (@CF99) 6 Desember 2021

“Jika seseorang dapat menggunakan API untuk tujuan selain yang dimaksudkan dan dapat mengumpulkan informasi yang sebaliknya tidak akan tersedia melalui cara 'standar'… itu pelanggaran,” pengguna Twitter @RegGBlinker mengomentari masalah tersebut.

Gravatar tidak diragukan lagi ingin meminimalkan kerusakan yang dilakukan oleh pemberitahuan pelanggaran yang dikirim pagi ini kepada penggunanya, tetapi menjadikan ini masalah semantik tidak meyakinkan. Sebagian besar pengguna tidak bermaksud untuk membagikan email Gravatar mereka dengan siapa pun yang memiliki motivasi untuk mengikis data yang diekspos untuk dipanen. Bahkan jika data itu dibuang melalui "penyalahgunaan" API mereka, itu terasa seperti pelanggaran bagi mereka yang mengharapkan bahwa data pengguna tidak akan tersedia untuk didistribusikan di tempat lain.

Insiden tersebut berfungsi sebagai pengingat bahwa, seperti yang ditekankan Gravatar hari ini, data yang dipilih pengguna untuk dibagikan secara publik disediakan oleh API layanan dan tidak bersifat pribadi. Sebagai pengguna, ada risiko untuk menikmati kenyamanan karena tidak perlu mengunggah foto profil Anda berkali-kali di berbagai situs web. Penerbit yang ingin situs mereka menawarkan opsi yang lebih sadar privasi harus mencari alternatif seperti Gravatar Lokal atau Avatar Piksel.