Gravatar는 "내가 전화를 받았습니까?"서비스가 사용자에게 위반을 통지 한 후 해킹되지 않았다고 말합니다.

Gravatar는 데이터 브리치 검사기 서비스인 "Have I Been Pwned"가 " 새로운 스크랩 데이터: Gravatar는 작년 10월 열거 벡터를 통해 1억 6700만 프로필을 스크랩했습니다. 1억 1400만 개의 MD5 이메일 주소 해시가 크랙되어 이름 및 사용자 이름과 함께 배포되었습니다. " 이 이메일 주소의 72%가 이미 서비스에 기록되어 있다고 주장합니다.

이 트윗은 2020년 10월 BleepingComputer 기사 "온라인 아바타 서비스 Gravatar는 사용자 정보의 대량 수집을 허용합니다"라는 제목의 기사를 참조했으며, 이 기사는 원래 해시를 얻은 방법을 설명합니다. 이탈리아 보안 연구원인 Carlo Di Dato는 Gravatar로부터 답변을 얻지 못한 후 각 프로필과 연결된 숫자 ID를 사용하여 사용자 데이터에 액세스하여 데이터를 가져오는 방법을 출판물에 시연했습니다. 그런 다음 그는 ID 1에서 5000까지의 프로필 URL을 순차적으로 방문하는 테스트 스크립트를 작성했으며 문제 없이 처음 5000명의 Gravatar 사용자의 JSON 데이터를 수집할 수 있었다고 말했습니다.

많은 Gravatar 사용자는 오늘 아침 Firefox Monitor와 Have I Been Pwned에서 자신의 정보가 새로운 데이터 유출로 나타났다는 알림에 놀라고 화를 냈습니다.

BleepingComputer 기사는 오늘 Have I Been Pwned의 공개 이후 더 많은 주목을 받아 Gravatar가 Twitter에서 응답하도록 자극했습니다.

Gravatar는 인증된 프로필을 사용하여 온라인에서 신원을 확인하는 데 도움이 됩니다. Gravatar가 해킹되었다는 온라인 대화를 알고 있으므로 잘못된 정보를 정리하고 싶습니다.

Gravatar는 해킹되지 않았습니다. 당사 서비스를 통해 온라인에서 공유하려는 데이터를 제어할 수 있습니다. 공개적으로 공유하기로 선택한 데이터는 API를 통해 사용할 수 있습니다. 사용자는 전체 이름, 표시 이름, 위치, 이메일 주소 및 짧은 약력을 공유하도록 선택할 수 있습니다.

작년에 보안 연구원은 API를 남용하여 사용자의 아바타를 참조하는 데 사용되는 이메일 주소의 사용자 이름 및 MD5 해시인 공개 Gravatar 데이터를 스크랩했습니다. 공개 프로필 데이터를 일괄 수집하는 기능을 즉시 패치했습니다. Gravatar의 작동 방식에 대해 자세히 알아보거나 프로필에서 공유되는 데이터를 조정하려면 Gravatar.com을 방문하세요.

Gravatar는 이 사건을 데이터 유출로 간주하지 않기 때문에 서비스는 2020년 보안 연구원에 대한 응답으로 변경된 사항을 공개하지 않았습니다.

Automattic 소유 서비스는 WordPress 웹 사이트, GitHub, Stackoverflow 및 기타 온라인 장소에서 사용됩니다. 보안 연구원과 개인 정보 보호 옹호자들은 수년 동안 Gravatar에 대한 개인 정보 공격에 대해 경고해 왔습니다. 많은 사람들이 사용자 정보를 얼마나 쉽게 사용할 수 있고 정보를 긁어내는 것이 얼마나 쉬운지를 보여주었습니다.

2013년 7월 Dominique Bongard는 라스베이거스에서 열린 Passwordscon에서 프랑스 정치 포럼 회원의 익명화 해제에 대해 연설했습니다. 그는 포럼 사용자를 위한 MD5 해시를 획득하기 위해 사용자 정의 크롤러를 작성하는 방법을 설명하고 사용자 정의 크래킹 소프트웨어를 사용한 공격이 Gravatar 사용자 이메일 주소의 70%를 복구할 수 있음을 보여주었습니다.

Bogard는 정치 포럼 회원의 익명을 해제하는 것은 포럼 사용자에게 언론의 자유에 대한 헌법적 권리가 없거나 참가자가 괴롭힘이나 공격을 받을 가능성이 있는 곳에서 특히 위험할 수 있다고 지적했습니다.

Wordfence는 2016년에 Bongard의 연구와 2009년에 수행된 초기 작업을 참조하여 Gravatar에 관한 권고를 발표했습니다. 이 연구에서는 연구원이 그라바타 해시의 ~10%를 이메일 주소로 리버스 엔지니어링할 수 있음을 입증했습니다.

Wordfence 설립자이자 CEO인 Mark Maunder는 이메일 주소 해시를 사용하면 사람들이 추출된 해시를 검색하여 개인이 사용 중인 다른 웹사이트와 서비스를 찾는 방법을 설명했습니다.

"예를 들어, 사용자는 스키 관련 웹사이트에 이름과 프로필 사진을 게재하는 것이 편할 수 있습니다."라고 Maunder가 말했습니다. “그러나 그들은 건강 상태를 전문으로 하는 웹사이트에서 자신의 이름이나 신원이 대중에게 노출되는 것을 원하지 않을 수 있습니다. 이 개인을 조사하는 누군가는 스키 웹사이트에서 이름과 함께 Gravatar 해시를 추출할 수 있습니다. 그런 다음 해시를 검색하여 개인이 비공개로 유지하고 싶은 의학적 상태를 앓고 있는지 확인할 수 있습니다.”

많은 Gravatar 사용자는 사용자가 입력한 모든 정보가 공개된 서비스의 설명에 만족하지 않아 사건이 위반으로 분류될 자격이 없었습니다. 그러나 같은 설명에서 서비스는 API가 취약하고 더 잘 보호될 수 있었다는 것을 인정하는 대신 API가 남용되었다고 주장합니다.

수년간의 연구자들이 이것이 가능하다는 것을 입증한 후, 스크래퍼가 서비스 아키텍처를 남용하기 때문에 Gravatar를 스크래핑하는 것이 비윤리적인 데이터 수집입니까? 아니면 Gravatar를 통해 수년간 프로필 데이터를 대량으로 수집할 수 있게 된 것이 비윤리적입니까?

트위터 사용자 @RegGBlinker는 이 문제에 대해 "누군가가 의도한 목적 이외의 다른 용도로 API를 사용할 수 있고 '표준' 수단을 통해 사용할 수 없는 정보를 수집할 수 있다면 이는 위반입니다."라고 말했습니다.

Gravatar는 의심할 여지 없이 오늘 아침 사용자에게 발송된 위반 통지로 인한 피해를 최소화하기를 원하지만 이것을 의미론의 문제로 만드는 것은 안심할 수 없습니다. 대부분의 사용자는 수집을 위해 노출된 데이터를 스크랩하려는 동기가 있는 누구와도 Gravatar 이메일을 공유할 의도가 없었습니다. 해당 데이터가 API의 "남용"을 통해 버려졌다고 해도 사용자 데이터를 다른 곳에서 배포할 수 없을 것이라고 예상한 사람들에게는 위반처럼 느껴집니다.

이 사건은 Gravatar가 오늘 강조했듯이 사용자가 공개적으로 공유하기로 선택한 데이터는 서비스의 API를 통해 사용할 수 있으며 비공개가 아님을 상기시켜줍니다. 사용자로서 다양한 웹사이트에 프로필 사진을 여러 번 업로드하지 않아도 되는 편리함을 누리는 데는 위험이 있습니다. 사이트에서 개인 정보 보호에 더 민감한 옵션을 제공하려는 게시자는 Local Gravatars 또는 Pixel Avatars와 같은 대안을 찾아야 합니다.