Gravatar diz que não foi hackeado após o serviço “Have I Been Pwned” notificar usuários sobre uma violação

Publicados: 2021-12-07

Gravatar está respondendo a perguntas hoje depois que “Have I Been Pwned”, um serviço de verificação de culatra de dados, twittou “ Novos dados raspados: Gravatar teve 167 milhões de perfis raspados em outubro do ano passado por meio de um vetor de enumeração. 114 milhões de hashes de endereços de e-mail MD5 foram posteriormente quebrados e distribuídos ao lado de nomes e nomes de usuário. “ Ele afirma que 72% desses endereços de e-mail já foram registrados com o serviço.

O tweet fazia referência a um artigo do BleepingComputer de outubro de 2020 intitulado “Serviço de avatar online Gravatar permite coleta em massa de informações do usuário”, que explica como os hashes foram originalmente obtidos. Depois que o pesquisador de segurança italiano Carlo Di Dato não conseguiu obter uma resposta do Gravatar, ele demonstrou à publicação como é possível acessar os dados do usuário usando um ID numérico associado a cada perfil para buscá-lo. Ele então escreveu um script de teste que visita sequencialmente URLs de perfil de IDs 1 a 5000 e disse que conseguiu coletar dados JSON dos primeiros 5000 usuários do Gravatar sem problemas.

Muitos usuários do Gravatar ficaram surpresos e chateados com os avisos do Firefox Monitor e do Have I Been Pwned nesta manhã, afirmando que suas informações haviam aparecido em uma nova violação de dados.

Oh cmon, maneira de arruinar meu dia @gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 6 de dezembro de 2021

O artigo do BleepingComputer ganhou mais atenção após a divulgação de Have I Been Pwned hoje, estimulando Gravatar a responder no Twitter:

O Gravatar ajuda a estabelecer sua identidade online com um perfil autenticado. Estamos cientes da conversa online que afirma que o Gravatar foi hackeado, então queremos esclarecer a desinformação.

Gravatar não foi hackeado. Nosso serviço oferece controle sobre os dados que você deseja compartilhar online. Os dados que você escolhe compartilhar publicamente são disponibilizados por meio de nossa API. Os usuários podem optar por compartilhar seu nome completo, nome de exibição, localização, endereço de e-mail e uma breve biografia.
No ano passado, um pesquisador de segurança raspou dados públicos do Gravatar – nomes de usuário e hashes MD5 de endereços de e-mail usados para fazer referência aos avatares dos usuários ao abusar de nossa API. Imediatamente corrigimos a capacidade de coletar os dados do perfil público em massa. Se você quiser saber mais sobre como o Gravatar funciona ou ajustar os dados compartilhados em seu perfil, visite Gravatar.com.

O Gravatar não considera o incidente uma violação de dados, razão pela qual o serviço não divulgou as alterações feitas em resposta ao pesquisador de segurança em 2020.

O serviço de propriedade da Automattic é usado em sites do WordPress, GitHub, Stackoverflow e outros lugares online. Pesquisadores de segurança e defensores da privacidade alertam sobre ataques de privacidade no Gravatar há anos. Muitos demonstraram como as informações do usuário estão prontamente disponíveis e como é fácil raspá-las.

Alguém fez um pouco maior recentemente. Parece que não há nada de novo no mundo. #gravatar https://t.co/5ZxyGYYBR0

— jasperwillem (@jasperwillem) 6 de dezembro de 2021

Em julho de 2013, Dominique Bongard falou no Passwordscon em Las Vegas sobre a desanonimização de membros de fóruns políticos franceses. Ele explicou como um rastreador personalizado poderia ser escrito para adquirir hashes MD5 para usuários do fórum e demonstrou que um ataque com software de cracking personalizado foi capaz de recuperar 70% dos endereços de e-mail dos usuários do Gravatar.

Bogard observou que desanonimizar membros de fóruns políticos pode ser particularmente perigoso em lugares onde os usuários dos fóruns não têm direito constitucional à liberdade de expressão, ou onde os participantes podem ser assediados ou atacados.

O Wordfence publicou um aviso sobre o Gravatar em 2016, que fazia referência à pesquisa de Bongard, bem como a trabalhos anteriores realizados em 2009, onde um pesquisador provou que poderia fazer engenharia reversa de ~ 10% dos hashes do gravatar em endereços de e-mail.

O fundador e CEO da Wordfence, Mark Maunder, explicou como o uso de hashes de endereço de e-mail pode levar as pessoas a pesquisar no Google o hash extraído para encontrar outros sites e serviços que um indivíduo está usando.

“Por exemplo: um usuário pode se sentir confortável em ter seu nome completo e foto de perfil em um site sobre esqui”, disse Maunder. “Mas eles podem não querer que seu nome ou identidade sejam expostos ao público em um site especializado em uma condição médica. Alguém pesquisando esse indivíduo poderia extrair seu hash Gravatar do site de esqui junto com seu nome completo. Eles poderiam então pesquisar o hash no Google e determinar que o indivíduo sofre de uma condição médica que eles queriam manter em sigilo.”

Muitos usuários do Gravatar não ficaram satisfeitos com a explicação do serviço de que todas as informações inseridas pelos usuários eram públicas, o que desqualificou o incidente de ser rotulado como uma violação. Na mesma explicação, no entanto, o serviço alega que a API foi abusada, em vez de admitir que era vulnerável e poderia ter sido melhor protegida.

Depois de anos de pesquisadores demonstrando que isso era possível, o scraping do Gravatar é uma aquisição de dados antiética porque o scraper está abusando da arquitetura do serviço? Ou é antiético que o Gravatar tenha possibilitado a coleta de dados de perfil em massa por anos?

Parece que seus dados foram acessados de uma maneira que você não pretendia (se houvesse uma palavra para isso), mas você não pretendia ser?
— Christopher Foster (@CF99) 6 de dezembro de 2021

“Se alguém for capaz de usar uma API para outra finalidade que não a pretendida e puder coletar informações que de outra forma não estariam disponíveis por meios 'padrão'... é uma violação”, comentou o usuário do Twitter @RegGBlinker sobre o assunto.

O Gravatar, sem dúvida, quer minimizar os danos causados pelos avisos de violação enviados esta manhã aos seus usuários, mas fazer disso uma questão de semântica não foi tranquilizador. A maioria dos usuários não pretendia compartilhar seus e-mails do Gravatar com quem tem motivação para raspar os dados que foram expostos para coleta. Mesmo que esses dados tenham sido despejados por “abuso” de sua API, parece uma violação para aqueles que esperavam que os dados do usuário não estivessem disponíveis para distribuição em outro lugar.

O incidente serve como um lembrete de que, como o Gravatar enfatizou hoje, os dados que os usuários optam por compartilhar publicamente são disponibilizados pela API do serviço e não são privados. Como usuário, há riscos em aproveitar a conveniência de não ter que carregar sua foto de perfil várias vezes em vários sites. Os editores que desejam que seus sites ofereçam uma opção mais consciente da privacidade devem procurar alternativas como Gravatars Locais ou Pixel Avatars.