Gravatar mówi, że nie został zhakowany po tym, jak usługa „Have I Been Pwned” powiadamia użytkowników o włamaniu

Opublikowany: 2021-12-07

Gravatar odpowiada dziś na pytania po tym, jak „Have I Been Pwned”, usługa sprawdzania bezpieczeństwa danych, napisała na Twitterze „ Nowe zeskrobane dane: Gravatar miał 167 mln profili zeskrobanych w październiku zeszłego roku za pomocą wektora wyliczenia. 114 mln skrótów adresów e-mail MD5 zostało następnie złamanych i rozpowszechnionych wraz z nazwiskami i nazwami użytkowników. „ Twierdzi, że 72% tych adresów e-mail było już zarejestrowanych w usłudze.

Tweet odnosił się do artykułu BleepingComputer z października 2020 r. zatytułowanego „Usługa awatarów online Gravatar umożliwia masowe zbieranie informacji o użytkownikach”, który wyjaśnia, w jaki sposób pierwotnie uzyskano skróty. Po tym, jak włoski badacz bezpieczeństwa Carlo Di Dato nie był w stanie uzyskać odpowiedzi od Gravatara, zademonstrował publikacji, w jaki sposób można uzyskać dostęp do danych użytkownika za pomocą numerycznego identyfikatora powiązanego z każdym profilem w celu ich pobrania. Następnie napisał skrypt testowy, który kolejno odwiedza adresy URL profili od identyfikatorów od 1 do 5000 i powiedział, że był w stanie bez żadnych problemów zebrać dane JSON pierwszych 5000 użytkowników Gravatara.

Wielu użytkowników Gravatara było zaskoczonych i zdenerwowanych powiadomieniami z Firefox Monitor i Have I Been Pwned dzisiejszego ranka, stwierdzającymi, że ich informacje pojawiły się w nowym wycieku danych.

O cmonie, sposób na zrujnowanie mojego dnia @gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 6 grudnia 2021 r.

Artykuł BleepingComputer zyskał więcej uwagi po dzisiejszym ujawnieniu Have I Been Pwned, co skłoniło Gravatara do odpowiedzi na Twitterze:

Gravatar pomaga ustalić Twoją tożsamość online za pomocą uwierzytelnionego profilu. Wiemy o rozmowie online, która twierdzi, że Gravatar został zhakowany, więc chcemy wyjaśnić nieprawdziwe informacje.

Gravatar nie został zhakowany. Nasza usługa daje Ci kontrolę nad danymi, które chcesz udostępnić online. Dane, które zdecydujesz się udostępnić publicznie, są udostępniane za pośrednictwem naszego interfejsu API. Użytkownicy mogą udostępnić swoje imię i nazwisko, nazwę wyświetlaną, lokalizację, adres e-mail i krótką biografię.
W zeszłym roku badacz bezpieczeństwa zebrał publiczne dane Gravatara – nazwy użytkowników i skróty MD5 adresów e-mail używanych do odwoływania się do awatarów użytkowników, nadużywając naszego API. Natychmiast załataliśmy możliwość masowego zbierania danych z profilu publicznego. Jeśli chcesz dowiedzieć się więcej o działaniu Gravatar lub dostosować dane udostępniane w Twoim profilu, odwiedź Gravatar.com.

Gravatar nie uznaje incydentu za naruszenie danych, dlatego serwis nie ujawnił zmian wprowadzonych w odpowiedzi na badacza bezpieczeństwa w 2020 roku.

Usługa należąca do Automattic jest używana w witrynach WordPress, GitHub, Stackoverflow i innych miejscach online. Badacze bezpieczeństwa i obrońcy prywatności od lat ostrzegali przed atakami na prywatność na Gravatar. Wielu pokazało, jak łatwo dostępne są informacje dla użytkowników i jak łatwo je zeskrobać.

Ktoś ostatnio zrobił to trochę większy. Wygląda na to, że na świecie nie ma nic nowego. #gravatar https://t.co/5ZxyGYYBR0
— jasperwillem (@jasperwillem) 6 grudnia 2021

W lipcu 2013 r. Dominique Bongard przemawiał na Passwordscon w Las Vegas na temat deanonimizacji członków francuskich forów politycznych. Wyjaśnił, w jaki sposób można napisać niestandardowy robot indeksujący, aby uzyskać skróty MD5 dla użytkowników forum i wykazał, że atak z użyciem niestandardowego oprogramowania do łamania zabezpieczeń był w stanie odzyskać 70% adresów e-mail użytkowników Gravatara.

Bogard zauważył, że deanonimizacja członków forów politycznych może być szczególnie niebezpieczna w miejscach, w których użytkownicy forów nie mają konstytucyjnego prawa do wolności słowa lub gdzie uczestnicy mogą być nękani lub atakowani.

Wordfence opublikował w 2016 r. zalecenie dotyczące Gravatara, które odwoływało się do badań Bongarda, a także wcześniejszych prac wykonanych w 2009 r., w których badacz udowodnił, że potrafi odtworzyć ~10% hashów gravatara w adresach e-mail.

Założyciel i dyrektor generalny Wordfence, Mark Maunder, wyjaśnił, w jaki sposób używanie skrótów adresów e-mail może prowadzić do tego, że ludzie będą wyszukiwać wyodrębniony hash w celu znalezienia innych stron internetowych i usług, z których korzysta dana osoba.

„Na przykład: użytkownik może czuć się komfortowo, gdy jego pełne imię i nazwisko oraz zdjęcie profilowe pojawiają się na stronie internetowej poświęconej narciarstwu” – powiedział Maunder. „Ale mogą nie chcieć, aby ich nazwisko lub tożsamość została ujawniona opinii publicznej na stronie internetowej specjalizującej się w schorzeniach. Ktoś, kto zbada tę osobę, może pobrać jej hash Gravatara ze strony internetowej poświęconej narciarstwu wraz z jej pełnym imieniem i nazwiskiem. Następnie mogliby wygooglować hasz i ustalić, że dana osoba cierpi na schorzenie, które chcieli zachować w tajemnicy”.

Wielu użytkowników Gravatara nie było usatysfakcjonowanych wyjaśnieniem usługi, że wszystkie wprowadzone przez nich informacje były jawne, co wykluczało incydent z etykietą naruszenia. Jednak w tym samym wyjaśnieniu usługa twierdzi, że interfejs API był nadużywany, zamiast przyznać, że był podatny na ataki i mógł być lepiej chroniony.

Po latach badaczy wykazujących, że było to możliwe, czy scraping Gravatara jest nieetycznym pozyskiwaniem danych, ponieważ scraper nadużywa architektury usługi? A może to nieetyczne, że Gravatar umożliwiał masowe zbieranie danych profilowych przez lata?

Brzmi to tak, jakby dostęp do Twoich danych był możliwy w sposób, którego nie zamierzałeś (jeśli tylko było na to słowo), ale nie chciałeś?

— Christopher Foster (@CF99) 6 grudnia 2021 r

„Jeśli ktoś jest w stanie używać API do celów innych niż zamierzone i może zbierać informacje, które w innym przypadku nie byłyby dostępne za pomocą „standardowych” środków… jest to naruszenie” – skomentował tę sprawę użytkownik Twittera @RegGBlinker.

Gravatar niewątpliwie chce zminimalizować szkody wyrządzone przez powiadomienia o naruszeniu wysłane dziś rano do swoich użytkowników, ale uczynienie tego kwestią semantyki nie było uspokajające. Większość użytkowników nie zamierzała udostępniać swoich e-maili Gravatar komukolwiek, kto ma motywację, by zeskrobać dane, które zostały ujawnione do zbierania. Nawet jeśli te dane zostały zrzucone z powodu „nadużycia” ich interfejsu API, wydaje się to naruszeniem dla tych, którzy oczekiwali, że dane użytkownika nie będą dostępne do dystrybucji gdzie indziej.

Incydent służy jako przypomnienie, że, jak podkreślił dzisiaj Gravatar, dane, które użytkownicy zdecydują się udostępniać publicznie, są udostępniane przez API usługi i nie są prywatne. Jako użytkownik istnieje ryzyko związane z wygodą polegającą na tym, że nie musisz wielokrotnie przesyłać swojego zdjęcia profilowego w różnych witrynach internetowych. Wydawcy, którzy chcą, aby ich witryny oferowały opcję bardziej świadomą prywatności, powinni szukać alternatyw, takich jak Local Gravatars lub Pixel Avatars.