Gravatar afferma che non è stato violato dopo che il servizio "Sono stato Pwned" ha notificato agli utenti una violazione

Pubblicato: 2021-12-07

Gravatar sta rispondendo alle domande oggi dopo che "Have I Been Pwned", un servizio di controllo dei dati, ha twittato " Nuovi dati raschiati: Gravatar aveva 167 milioni di profili raschiati nell'ottobre dello scorso anno tramite un vettore di enumerazione. 114 milioni di hash dell'indirizzo e-mail MD5 sono stati successivamente violati e distribuiti insieme a nomi e nomi utente. “ Afferma che il 72% di questi indirizzi e-mail era già registrato con il servizio.

Il tweet faceva riferimento a un articolo di BleepingComputer dell'ottobre 2020 intitolato "Il servizio di avatar online Gravatar consente la raccolta di massa di informazioni sugli utenti", che spiega come sono stati originariamente ottenuti gli hash. Dopo che il ricercatore italiano sulla sicurezza Carlo Di Dato non è stato in grado di ottenere una risposta da Gravatar, ha dimostrato alla pubblicazione come si può accedere ai dati degli utenti utilizzando un ID numerico associato a ciascun profilo per recuperarli. Ha quindi scritto uno script di test che visita in sequenza gli URL del profilo dagli ID da 1 a 5000 e ha affermato di essere stato in grado di raccogliere i dati JSON dei primi 5000 utenti Gravatar senza problemi.

Molti utenti di Gravatar sono rimasti sorpresi e sconvolti dagli avvisi di Firefox Monitor e Have I Been Pwned questa mattina, affermando che le loro informazioni erano apparse in una nuova violazione dei dati.

Oh cmon, modo per rovinarmi la giornata @gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 6 dicembre 2021

L'articolo di BleepingComputer ha guadagnato più attenzione dopo la divulgazione di Have I Been Pwned di oggi, spingendo Gravatar a rispondere su Twitter:

Gravatar aiuta a stabilire la tua identità online con un profilo autenticato. Siamo a conoscenza della conversazione online secondo cui Gravatar è stato violato, quindi vogliamo chiarire la disinformazione.

Gravatar non è stato violato. Il nostro servizio ti dà il controllo sui dati che desideri condividere online. I dati che scegli di condividere pubblicamente sono resi disponibili tramite la nostra API. Gli utenti possono scegliere di condividere il proprio nome completo, nome visualizzato, posizione, indirizzo e-mail e una breve biografia.
L'anno scorso, un ricercatore di sicurezza ha analizzato i dati pubblici di Gravatar: nomi utente e hash MD5 degli indirizzi e-mail utilizzati per fare riferimento agli avatar degli utenti abusando della nostra API. Abbiamo immediatamente corretto la possibilità di raccogliere in massa i dati del profilo pubblico. Se vuoi saperne di più su come funziona Gravatar o modificare i dati condivisi sul tuo profilo, visita Gravatar.com.

Gravatar non considera l'incidente una violazione dei dati, motivo per cui il servizio non ha rivelato le modifiche apportate in risposta al ricercatore di sicurezza nel 2020.

Il servizio di proprietà di Automattic viene utilizzato su siti Web WordPress, GitHub, Stackoverflow e altri luoghi online. I ricercatori di sicurezza e i sostenitori della privacy hanno messo in guardia da anni sugli attacchi alla privacy su Gravatar. Molti hanno dimostrato quanto siano prontamente disponibili le informazioni degli utenti e quanto sia facile estrarle.

Qualcuno l'ha fatto un po' più grande di recente. Sembra che non ci sia nulla di nuovo al mondo. #gravatar https://t.co/5ZxyGYYBR0

— jasperwillem (@jasperwillem) 6 dicembre 2021

Nel luglio 2013, Dominique Bongard ha parlato al Passwordscon di Las Vegas sulla de-anonimizzazione dei membri dei forum politici francesi. Ha spiegato come si potrebbe scrivere un crawler personalizzato per acquisire hash MD5 per gli utenti del forum e ha dimostrato che un attacco con un software di cracking personalizzato è stato in grado di recuperare il 70% degli indirizzi e-mail degli utenti Gravatar.

Bogard ha osservato che la de-anonimizzazione dei membri dei forum politici può essere particolarmente pericolosa nei luoghi in cui gli utenti dei forum non hanno il diritto costituzionale alla libertà di parola o in cui è probabile che i partecipanti vengano molestati o attaccati.

Wordfence ha pubblicato un avviso su Gravatar nel 2016, che faceva riferimento alla ricerca di Bongard, così come al lavoro precedente svolto nel 2009 in cui un ricercatore ha dimostrato di poter decodificare circa il 10% degli hash di Gravatar in indirizzi e-mail.

Il fondatore e CEO di Wordfence Mark Maunder ha spiegato come l'utilizzo degli hash degli indirizzi e-mail può portare le persone a cercare su Google l'hash estratto per trovare altri siti Web e servizi che un individuo sta utilizzando.

"Ad esempio: un utente potrebbe sentirsi a proprio agio nel vedere il proprio nome completo e la foto del profilo apparire su un sito Web sullo sci", ha affermato Maunder. “Ma potrebbero non volere che il loro nome o identità siano esposti al pubblico su un sito web specializzato in una condizione medica. Qualcuno che ricerca questo individuo potrebbe estrarre il suo hash Gravatar dal sito web di sci insieme al suo nome completo. Potrebbero quindi Google l'hash e determinare che l'individuo soffre di una condizione medica che volevano mantenere privato".

Molti utenti di Gravatar non erano soddisfatti della spiegazione del servizio secondo cui tutte le informazioni inserite dagli utenti erano pubbliche, il che ha squalificato l'incidente dall'essere etichettato come una violazione. Nella stessa spiegazione, tuttavia, il servizio afferma che l'API è stata abusata, invece di ammettere che era vulnerabile e avrebbe potuto essere protetta meglio.

Dopo anni di ricercatori che hanno dimostrato che ciò era possibile, lo scraping di Gravatar è un'acquisizione di dati non etica perché lo scraper sta abusando dell'architettura del servizio? O non è etico che Gravatar abbia permesso di raccogliere i dati del profilo in blocco per anni?

Sembra che l'accesso ai tuoi dati sia avvenuto in un modo in cui non volevi (se solo ci fosse una parola per questo), ma non volevi esserlo?
— Christopher Foster (@CF99) 6 dicembre 2021

"Se qualcuno è in grado di utilizzare un'API per uno scopo diverso da quello previsto e può raccogliere informazioni che altrimenti non sarebbero disponibili tramite mezzi 'standard'... è una violazione", ha commentato l'utente di Twitter @RegGBlinker in merito alla questione.

Gravatar vuole senza dubbio ridurre al minimo i danni causati dalle notifiche di violazione inviate questa mattina ai suoi utenti, ma fare di questo un problema di semantica non è stato rassicurante. La maggior parte degli utenti non intendeva condividere le proprie e-mail Gravatar con chiunque abbia la motivazione per racimolare i dati che sono stati esposti per la raccolta. Anche se quei dati sono stati scaricati per "abuso" della loro API, sembra una violazione per coloro che si aspettavano che i dati degli utenti non sarebbero stati disponibili per la distribuzione altrove.

L'incidente serve a ricordare che, come ha sottolineato Gravatar oggi, i dati che gli utenti scelgono di condividere pubblicamente sono resi disponibili dall'API del servizio e non sono privati. Come utente, ci sono dei rischi nel godere della comodità di non dover caricare la tua foto del profilo più volte su vari siti web. Gli editori che desiderano che i loro siti offrano un'opzione più attenta alla privacy dovrebbero cercare alternative come Local Gravatar o Pixel Avatars.