Gravatar spune că nu a fost piratat după ce serviciul „Have I Been Pwned” i-a notificat pe utilizatori cu privire la o încălcare

Publicat: 2021-12-07

Gravatar răspunde astăzi la întrebări după ce „Have I Been Pwned”, un serviciu de verificare a datelor, a postat pe Twitter „ Noi date răzuite: Gravatar a avut 167 de milioane de profiluri răzuite în octombrie anul trecut printr-un vector de enumerare. Ulterior, 114 milioane de fișiere hash ale adreselor de e-mail MD5 au fost sparte și distribuite alături de nume și nume de utilizator. „ Pretinde că 72% dintre aceste adrese de e-mail au fost deja conectate cu serviciul.

Tweet-ul face referire la un articol BleepingComputer din octombrie 2020 intitulat „Serviciul de avatar online Gravatar permite colectarea în masă a informațiilor despre utilizatori”, care explică modul în care au fost obținute inițial hashurile. După ce cercetătorul italian de securitate Carlo Di Dato nu a reușit să obțină un răspuns de la Gravatar, el a demonstrat publicației cum se poate accesa datele utilizatorului folosind un ID numeric asociat fiecărui profil pentru a le prelua. Apoi a scris un script de testare care vizitează secvențial adresele URL de profil de la ID-urile 1 la 5000 și a spus că a putut colecta date JSON ale primilor 5000 de utilizatori Gravatar fără probleme.

Mulți utilizatori Gravatar au fost surprinși și supărați de notificările de la Firefox Monitor și Have I Been Pwned în această dimineață, care afirmă că informațiile lor au apărut într-o nouă breșă de date.

Oh cmon, o modalitate de a-mi strica ziua @gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 6 decembrie 2021

Articolul BleepingComputer a câștigat mai multă atenție după dezvăluirea de astăzi a lui Have I Been Pwned, motivând Gravatar să răspundă pe Twitter:

Gravatar vă ajută să vă stabiliți identitatea online cu un profil autentificat. Suntem conștienți de conversația online care susține că Gravatar a fost piratat, așa că vrem să lămurim dezinformarea.

Gravatar nu a fost spart. Serviciul nostru vă oferă control asupra datelor pe care doriți să le partajați online. Datele pe care alegeți să le partajați public sunt disponibile prin intermediul API-ului nostru. Utilizatorii pot alege să-și partajeze numele complet, numele afișat, locația, adresa de e-mail și o scurtă biografie.
Anul trecut, un cercetător în domeniul securității a răzuit datele publice Gravatar – nume de utilizator și hash-uri MD5 ale adreselor de e-mail folosite pentru a face referire la avatarele utilizatorilor prin abuzarea API-ului nostru. Am corectat imediat capacitatea de a colecta în masă datele de profil public. Dacă doriți să aflați mai multe despre cum funcționează Gravatar sau să ajustați datele partajate pe profilul dvs., vă rugăm să vizitați Gravatar.com.

Gravatar nu consideră incidentul ca fiind o încălcare a datelor, motiv pentru care serviciul nu a dezvăluit modificările făcute ca răspuns la cercetătorul de securitate în 2020.

Serviciul deținut de Automattic este utilizat pe site-urile web WordPress, GitHub, Stackoverflow și alte locuri online. Cercetătorii în domeniul securității și susținătorii confidențialității au avertizat despre atacurile de confidențialitate asupra Gravatar de ani de zile. Mulți au demonstrat cât de ușor sunt disponibile informațiile despre utilizator și cât de ușor este să le răzuiești.

Cineva a făcut-o ceva mai mare recent. Se pare că nu este nimic nou în lume. #gravatar https://t.co/5ZxyGYYBR0

— jasperwillem (@jasperwillem) 6 decembrie 2021

În iulie 2013, Dominique Bongard a vorbit la Passwordscon din Las Vegas despre de-anonimizarea membrilor forumurilor politice franceze. El a explicat cum ar putea fi scris un crawler personalizat pentru a obține hash-uri MD5 pentru utilizatorii de forum și a demonstrat că un atac cu un software de cracare personalizat a putut recupera 70% din adresele de e-mail ale utilizatorilor Gravatar.

Bogard a remarcat că de-anonimizarea membrilor forumurilor politice poate fi deosebit de periculoasă în locurile în care utilizatorii forumurilor nu au dreptul constituțional la libertatea de exprimare sau unde participanții pot fi hărțuiți sau atacați.

Wordfence a publicat un aviz cu privire la Gravatar în 2016, care face referire la cercetările lui Bongard, precum și la lucrările anterioare efectuate în 2009, în care un cercetător a dovedit că poate face inginerie inversă a ~10% din hashe-urile gravatar în adrese de e-mail.

Fondatorul și CEO-ul Wordfence, Mark Maunder, a explicat cum utilizarea hash-urilor adreselor de e-mail poate determina oamenii să caute pe Google hash-ul extras pentru a găsi alte site-uri web și servicii pe care o persoană le folosește.

„De exemplu: un utilizator poate fi confortabil ca numele complet și fotografia de profil să apară pe un site web despre schi”, a spus Maunder. „Dar s-ar putea să nu-și dorească ca numele sau identitatea lor să fie expusă publicului pe un site web specializat într-o afecțiune medicală. Cineva care cercetează acest individ ar putea extrage hash-ul Gravatar de pe site-ul web de schi împreună cu numele complet. Ei ar putea apoi să caute pe Google hash-ul și să determine că individul suferă de o afecțiune pe care doreau să o păstreze în privat.”

Mulți utilizatori Gravatar nu au fost mulțumiți de explicația oferită de serviciu că toate informațiile introduse de utilizatori sunt publice, ceea ce a descalificat incidentul de a fi etichetat ca o încălcare. În aceeași explicație, însă, serviciul susține că API-ul a fost abuzat, în loc să admită că era vulnerabil și ar fi putut fi mai bine protejat.

După ani în care cercetătorii au demonstrat că acest lucru a fost posibil, răzuirea Gravatar este o achiziție de date lipsită de etică, deoarece scraperul abuzează de arhitectura serviciului? Sau este lipsit de etică faptul că Gravatar a făcut posibilă colectarea datelor de profil în masă ani de zile?

Se pare că datele tale au fost accesate într-un mod pe care nu ai intenționat (dacă ar exista un cuvânt pentru asta), dar nu ai vrut să fii?
– Christopher Foster (@CF99) 6 decembrie 2021

„Dacă cineva este capabil să utilizeze un API în alt scop decât scopul său și poate aduna informații care altfel nu ar fi disponibile prin mijloace „standard”… este o încălcare”, a comentat utilizatorul Twitter @RegGBlinker despre această problemă.

Gravatar dorește, fără îndoială, să minimizeze daunele cauzate de notificările de încălcare trimise în această dimineață utilizatorilor săi, dar a face din aceasta o problemă de semantică nu a fost liniștitor. Majoritatea utilizatorilor nu au intenționat să-și împărtășească e-mailurile Gravatar cu oricine are motivația să curețe datele care au fost expuse pentru recoltare. Chiar dacă acele date au fost aruncate prin „abuz” al API-ului lor, se simte ca o încălcare pentru cei care se așteptau ca datele utilizatorilor să nu fie disponibile pentru distribuire în altă parte.

Incidentul servește ca un memento că, așa cum a subliniat Gravatar astăzi, datele utilizatorilor aleg să le partajeze public sunt puse la dispoziție de API-ul serviciului și nu sunt private. În calitate de utilizator, există riscuri să vă bucurați de confortul de a nu fi nevoit să vă încărcați fotografia de profil de mai multe ori pe diferite site-uri web. Editorii care doresc ca site-urile lor să ofere o opțiune mai atentă la confidențialitate ar trebui să caute alternative precum Gravatare locale sau Avataruri Pixel.