Gravatarは、「Have I been Pwned」サービスがユーザーに侵害を通知した後、ハッキングされなかったと述べています

公開: 2021-12-07

Gravatarは、データブリーチチェッカーサービスである「HaveI been Pwned」がツイートした後、今日質問に答えています。 その後、114MのMD5電子メールアドレスハッシュがクラックされ、名前とユーザー名とともに配布されました。 「これらの電子メールアドレスの72％がすでにサービスに記録されていると主張しています。

ツイートは、2020年10月のBleepingComputerの記事、「オンラインアバターサービスGravatarにより、ユーザー情報の大量収集が可能」というタイトルで、ハッシュが最初に取得された方法を説明しています。イタリアのセキュリティ研究者CarloDi DatoがGravatarから回答を得ることができなかった後、彼は出版物に、各プロファイルに関連付けられた数値IDを使用してユーザーデータを取得する方法を示しました。次に、ID 1から5000までのプロファイルURLに順番にアクセスするテストスクリプトを作成し、最初の5000人のGravatarユーザーのJSONデータを問題なく収集できたと述べました。

多くのGravatarユーザーは、FirefoxMonitorとHaveI been Pwnedからの通知に驚愕し、動揺し、彼らの情報が新しいデータ侵害に現れたと述べました。

ああ、cmon、私の一日を台無しにする方法@gravatar pic.twitter.com/FsmxkL7zpq
— Lundy（@simplyeazy）2021年12月6日

BleepingComputerの記事は、Have I been Pwnedが本日公開された後、さらに注目を集め、GravatarがTwitterで応答するようになりました。

Gravatarは、認証されたプロファイルを使用してオンラインでIDを確立するのに役立ちます。 Gravatarがハッキングされたと主張するオンラインの会話を認識しているので、誤った情報を明らかにしたいと思います。

Gravatarはハッキングされませんでした。私たちのサービスでは、オンラインで共有したいデータを管理できます。公開することを選択したデータは、APIを介して利用可能になります。ユーザーは、フルネーム、表示名、場所、電子メールアドレス、および短い経歴を共有することを選択できます。
昨年、セキュリティ研究者が公開されているGravatarデータ（APIを悪用してユーザーのアバターを参照するために使用されるメールアドレスのユーザー名とMD5ハッシュ）を取得しました。パブリックプロファイルデータをまとめて収集する機能にすぐにパッチを適用しました。 Gravatarの動作の詳細や、プロファイルで共有されるデータの調整については、Gravatar.comにアクセスしてください。

Gravatarは、このインシデントをデータ侵害とは見なしていません。そのため、サービスは2020年にセキュリティ研究者に対応して行われた変更を開示しませんでした。

Automatticが所有するサービスは、WordPress Webサイト、GitHub、Stackoverflow、およびその他のオンラインの場所で使用されます。セキュリティ研究者とプライバシー擁護者は、Gravatarに対するプライバシー攻撃について何年も警告してきました。多くの人が、ユーザー情報を簡単に入手できることと、それを簡単に取得できることを示しています。

最近誰かが少し大きくしました。世界に新しいものは何もないようです。 #gravatar https://t.co/5ZxyGYYBR0

— jasperwillem（@jasperwillem）2021年12月6日

2013年7月、Dominique Bongardは、ラスベガスのPasswordsconで、フランスの政治フォーラムのメンバーの匿名化について話しました。彼は、フォーラムユーザーのMD5ハッシュを取得するためにカスタムクローラーを作成する方法を説明し、カスタムクラッキングソフトウェアを使用した攻撃でGravatarユーザーの電子メールアドレスの70％を回復できることを示しました。

ボガード氏は、政治フォーラムのメンバーの匿名化は、フォーラムのユーザーが言論の自由に対する憲法上の権利を持たない場所、または参加者が嫌がらせや攻撃を受ける可能性がある場所では特に危険である可能性があると述べた。

Wordfenceは、2016年にGravatarに関するアドバイザリを公開しました。これは、Bongardの調査と、2009年に行われた以前の作業で、Gravatarハッシュの約10％をメールアドレスにリバースエンジニアリングできることを研究者が証明したものです。

Wordfenceの創設者兼CEOのMarkMaunderは、電子メールアドレスハッシュを使用すると、抽出されたハッシュをグーグルで検索して、個人が使用している他のWebサイトやサービスを見つけることができると説明しました。

「例：ユーザーは、自分のフルネームとプロフィール写真をスキーに関するWebサイトに表示することに抵抗がない場合があります」とMaunder氏は述べています。「しかし、彼らは自分の名前や身元を病状に特化したウェブサイトで一般に公開したくないかもしれません。この個人を調査している人は、スキーのWebサイトからフルネームとともにGravatarハッシュを抽出できます。次に、ハッシュをグーグルで検索して、個人が秘密にしておきたい病状に苦しんでいると判断することができます。」

多くのGravatarユーザーは、ユーザーが入力したすべての情報が公開されているというサービスの説明に満足していなかったため、インシデントに違反のラベルが付けられることはありませんでした。ただし、同じ説明で、サービスはAPIが脆弱であり、より適切に保護されている可能性があることを認めるのではなく、APIが悪用されたと主張しています。

何年にもわたる研究者がこれが可能であることを実証した後、スクレイパーがサービスのアーキテクチャを悪用しているため、Gravatarをスクレイピングすることは非倫理的なデータ取得ですか？それとも、Gravatarが何年にもわたってプロファイルデータをまとめて収集することを可能にしたのは非倫理的ですか？

それはあなたのデータがあなたが意図していなかった方法でアクセスされたように聞こえますが（そのための言葉があったとしても）、あなたはそうするつもりはありませんでしたか？
—クリストファー・フォスター（@ CF99）2021年12月6日

「誰かが意図した目的以外の目的でAPIを使用でき、「標準」の手段では利用できない情報を収集できる場合、それは違反です」とTwitterユーザーの@RegGBlinkerはこの問題についてコメントしました。

Gravatarは間違いなく、今朝ユーザーに送信された違反通知による被害を最小限に抑えたいと考えていますが、これをセマンティクスの問題にすることは安心できませんでした。ほとんどのユーザーは、収集のために公開されたデータをスクレイピングする動機を持つ人とGravatarメールを共有することを意図していませんでした。そのデータがAPIの「悪用」によってダンプされたとしても、ユーザーデータを他の場所で配布できないと予想していた人にとっては違反のように感じます。

この事件は、Gravatarが今日強調したように、ユーザーが公開で共有することを選択したデータは、サービスのAPIによって利用可能になり、非公開ではないことを思い出させるものです。ユーザーとして、さまざまなWebサイトにプロフィール写真を複数回アップロードする必要がないという便利さを享受することにはリスクがあります。サイトでよりプライバシーに配慮したオプションを提供したいパブリッシャーは、ローカルGravatarやPixelAvatarなどの代替手段を検討する必要があります。