Gravatar заявляет, что его не взломали после того, как сервис «Have I Been Pwned» уведомил пользователей о взломе

Опубликовано: 2021-12-07

Gravatar отвечает на вопросы сегодня после того, как «Have I Been Pwned», служба проверки данных, написала в Твиттере: « Новые извлеченные данные: в октябре прошлого года Gravatar очистил 167 миллионов профилей с помощью вектора перечисления. 114 миллионов хэшей адресов электронной почты MD5 были впоследствии взломаны и распространены вместе с именами и именами пользователей. « Утверждается, что 72% этих адресов электронной почты уже зарегистрированы в сервисе.

В твите содержится ссылка на статью BleepingComputer от октября 2020 года под названием «Онлайн-сервис аватаров Gravatar позволяет массово собирать информацию о пользователях», в которой объясняется, как изначально были получены хэши. После того, как итальянский исследователь безопасности Карло Ди Дато не смог получить ответ от Gravatar, он продемонстрировал изданию, как можно получить доступ к пользовательским данным, используя числовой идентификатор, связанный с каждым профилем, для их извлечения. Затем он написал тестовый скрипт, который последовательно посещает URL-адреса профилей с идентификаторами от 1 до 5000, и сказал, что смог без проблем собрать данные JSON о первых 5000 пользователей Gravatar.

Многие пользователи Gravatar были поражены и расстроены уведомлениями от Firefox Monitor и Have I Been Pwned этим утром, в которых говорилось, что их информация появилась в результате новой утечки данных.

О, да ладно, способ испортить мне день @gravatar pic.twitter.com/FsmxkL7zpq
— Ланди (@simplyeazy) 6 декабря 2021 г.

Статья BleepingComputer привлекла больше внимания после сегодняшней публикации Have I Been Pwned, что побудило Gravatar ответить в Твиттере:

Gravatar помогает установить вашу личность в Интернете с помощью аутентифицированного профиля. Нам известно о разговоре в сети, в котором утверждается, что Gravatar был взломан, поэтому мы хотим прояснить эту дезинформацию.

Граватар не был взломан. Наш сервис дает вам контроль над данными, которыми вы хотите поделиться в Интернете. Данные, которые вы решили сделать общедоступными, становятся доступными через наш API. Пользователи могут поделиться своим полным именем, отображаемым именем, местоположением, адресом электронной почты и краткой биографией.
В прошлом году исследователь безопасности извлек общедоступные данные Gravatar — имена пользователей и хэши MD5 адресов электронной почты, используемые для ссылки на аватары пользователей, злоупотребляя нашим API. Мы немедленно исправили возможность массового сбора данных общедоступных профилей. Если вы хотите узнать больше о том, как работает Gravatar, или изменить данные, публикуемые в вашем профиле, посетите Gravatar.com.

Gravatar не считает инцидент утечкой данных, поэтому сервис не раскрыл изменения, внесенные в ответ на запрос исследователя безопасности в 2020 году.

Служба, принадлежащая Automattic, используется на веб-сайтах WordPress, GitHub, Stackoverflow и в других местах в Интернете. Исследователи безопасности и защитники конфиденциальности годами предупреждали об атаках на конфиденциальность Gravatar. Многие продемонстрировали, насколько легко доступна пользовательская информация и как легко ее собрать.

Недавно кто-то сделал это немного больше. Кажется, в мире нет ничего нового. #граватар https://t.co/5ZxyGYYBR0

— Джаспервиллем (@jasperwillem) 6 декабря 2021 г.

В июле 2013 года Доминик Бонгар выступил на Passwordscon в Лас-Вегасе о деанонимизации участников французских политических форумов. Он объяснил, как можно написать собственный поисковый робот для сбора хэшей MD5 для пользователей форума, и продемонстрировал, что атака с использованием специального программного обеспечения для взлома смогла восстановить 70% адресов электронной почты пользователей Gravatar.

Богард отметил, что деанонимизация участников политических форумов может быть особенно опасной в тех местах, где пользователи форумов не имеют конституционного права на свободу слова или где участники могут подвергнуться преследованиям или нападениям.

Wordfence опубликовал рекомендацию по Gravatar в 2016 году, в которой упоминалось исследование Бонгарда, а также более ранняя работа, проведенная в 2009 году, когда исследователь доказал, что он может реконструировать ~ 10% хэшей gravatar в адреса электронной почты.

Основатель и генеральный директор Wordfence Марк Маундер объяснил, как использование хэшей адресов электронной почты может привести к тому, что люди начнут гуглить извлеченный хэш, чтобы найти другие веб-сайты и службы, которые использует человек.

«Например: пользователю может быть удобно, если его полное имя и фотография профиля появляются на веб-сайте о лыжах», — сказал Маундер. «Но они могут не захотеть, чтобы их имя или личность были раскрыты публике на веб-сайте, специализирующемся на заболеваниях. Кто-то, исследующий этого человека, может извлечь его хэш Gravatar с лыжного веб-сайта вместе с его полным именем. Затем они могли бы погуглить хэш и определить, что человек страдает заболеванием, которое они хотели сохранить в тайне».

Многих пользователей Gravatar не удовлетворило объяснение службы о том, что вся введенная пользователями информация является общедоступной, что лишает инцидент права называться нарушением. Однако в том же объяснении служба утверждает, что API использовался не по назначению, вместо того чтобы признать, что он уязвим и мог бы быть лучше защищен.

После нескольких лет исследований, демонстрирующих, что это возможно, является ли сбор данных Gravatar неэтичным сбором данных, потому что парсер злоупотребляет архитектурой сервиса? Или это неэтично, что Gravatar годами позволял массово собирать данные профилей?

Похоже, к вашим данным получили доступ не так, как вы предполагали (если бы только существовало такое слово), но вы этого не хотели?
— Кристофер Фостер (@CF99) 6 декабря 2021 г.

«Если кто-то может использовать API не по прямому назначению и может собирать информацию, которая в противном случае была бы недоступна с помощью «стандартных» средств… это нарушение», — прокомментировал этот вопрос пользователь Twitter @RegGBlinker.

Gravatar, несомненно, хочет свести к минимуму ущерб, нанесенный уведомлениями о взломе, разосланными пользователям сегодня утром, но делать это вопросом семантики было бы не слишком обнадеживающе. Большинство пользователей не собирались делиться своими электронными письмами Gravatar с теми, у кого есть мотивация собирать данные, которые были выставлены для сбора. Даже если эти данные были удалены из-за «злоупотребления» их API, это похоже на нарушение для тех, кто ожидал, что пользовательские данные не будут доступны для распространения где-либо еще.

Инцидент служит напоминанием о том, что, как подчеркнул сегодня Gravatar, данные, которые пользователи выбирают для общего доступа, предоставляются через API службы и не являются конфиденциальными. Как пользователь, вы рискуете воспользоваться удобством, поскольку вам не нужно загружать фотографию своего профиля несколько раз на разные веб-сайты. Издатели, которые хотят, чтобы их сайты предлагали более безопасные варианты, должны искать альтернативы, такие как Local Gravatar или Pixel Avatars.