Gravatar กล่าวว่าไม่ถูกแฮ็กหลังจากบริการ "ฉันเคยถูกหลอก" แจ้งให้ผู้ใช้ทราบถึงการละเมิด

เผยแพร่แล้ว: 2021-12-07

Gravatar กำลังตอบคำถามในวันนี้หลังจาก "ฉันเคยถูก Pwned" ซึ่งเป็นบริการตรวจสอบก้นข้อมูลทวีต " ข้อมูลที่คัดลอกมาใหม่: Gravatar มีโปรไฟล์ 167M ที่คัดลอกในเดือนตุลาคมปีที่แล้วผ่านเวกเตอร์การแจงนับ แฮชที่อยู่อีเมล MD5 จำนวน 114 ล้านแฮชในเวลาต่อมาถูกถอดรหัสและแจกจ่ายไปพร้อมกับชื่อและชื่อผู้ใช้ “ มันอ้างว่า 72% ของที่อยู่อีเมลเหล่านี้ถูกบันทึกด้วยบริการแล้ว

ทวีตอ้างถึงบทความของ BleepingComputer เมื่อเดือนตุลาคม 2020 ในหัวข้อ “บริการอวาตาร์ออนไลน์ Gravatar อนุญาตให้รวบรวมข้อมูลผู้ใช้จำนวนมาก” ซึ่งอธิบายวิธีการรับแฮชในขั้นต้น หลังจากที่ Carlo Di Dato นักวิจัยด้านความปลอดภัยชาวอิตาลีไม่สามารถรับคำตอบจาก Gravatar เขาได้แสดงให้สิ่งพิมพ์เห็นว่าสามารถเข้าถึงข้อมูลผู้ใช้ได้อย่างไรโดยใช้รหัสตัวเลขที่เชื่อมโยงกับแต่ละโปรไฟล์เพื่อดึงข้อมูล จากนั้นเขาก็เขียนสคริปต์ทดสอบที่เข้าชม URL โปรไฟล์ตามลำดับจาก ID 1 ถึง 5000 และกล่าวว่าเขาสามารถรวบรวมข้อมูล JSON ของผู้ใช้ Gravatar 5,000 คนแรกโดยไม่มีปัญหาใดๆ

ผู้ใช้ Gravatar หลายคนตกใจและไม่พอใจกับการแจ้งเตือนจาก Firefox Monitor และฉันเคยถูก Pwned เมื่อเช้านี้หรือไม่ โดยระบุว่าข้อมูลของพวกเขาได้ปรากฏในการละเมิดข้อมูลใหม่

โอ้ cmon วิธีที่จะทำลายวันของฉัน @gravatar pic.twitter.com/FsmxkL7zpq
– ลันดี้ (@simplyeazy) 6 ธันวาคม 2564

บทความ BleepingComputer ได้รับความสนใจมากขึ้นหลังจากการเปิดเผยของ Have I Been Pwned ในวันนี้ กระตุ้นให้ Gravatar ตอบกลับบน Twitter:

Gravatar ช่วยสร้างตัวตนของคุณทางออนไลน์ด้วยโปรไฟล์ที่รับรองความถูกต้อง เราทราบดีถึงการสนทนาออนไลน์ที่อ้างว่า Gravatar ถูกแฮ็ก ดังนั้นเราจึงต้องการชี้แจงข้อมูลที่ผิด
Gravatar ไม่ถูกแฮ็ก บริการของเราให้คุณควบคุมข้อมูลที่คุณต้องการแบ่งปันทางออนไลน์ ข้อมูลที่คุณเลือกที่จะแบ่งปันแบบสาธารณะนั้นมีให้ผ่านทาง API ของเรา ผู้ใช้สามารถเลือกที่จะแบ่งปันชื่อเต็ม ชื่อที่แสดง สถานที่ ที่อยู่อีเมล และประวัติโดยย่อ

ปีที่แล้ว นักวิจัยด้านความปลอดภัยได้คัดลอกข้อมูล Gravatar สาธารณะ – ชื่อผู้ใช้และแฮช MD5 ของที่อยู่อีเมลที่ใช้อ้างอิงอวาตาร์ของผู้ใช้โดยใช้ API ของเราในทางที่ผิด เราได้แก้ไขความสามารถในการเก็บเกี่ยวข้อมูลโปรไฟล์สาธารณะจำนวนมากในทันที หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำงานของ Gravatar หรือปรับข้อมูลที่แชร์บนโปรไฟล์ของคุณ โปรดไปที่ Gravatar.com

Gravatar ไม่ถือว่าเหตุการณ์นี้เป็นการละเมิดข้อมูล ซึ่งเป็นสาเหตุที่บริการไม่เปิดเผยการเปลี่ยนแปลงที่ทำขึ้นเพื่อตอบสนองต่อนักวิจัยด้านความปลอดภัยในปี 2020

บริการ Automattic ที่เป็นเจ้าของนั้นถูกใช้ในเว็บไซต์ WordPress, GitHub, Stackoverflow และที่อื่นๆ ทางออนไลน์ นักวิจัยด้านความปลอดภัยและผู้สนับสนุนความเป็นส่วนตัวได้เตือนเกี่ยวกับการโจมตีความเป็นส่วนตัวใน Gravatar มาหลายปีแล้ว หลายคนได้แสดงให้เห็นว่าข้อมูลผู้ใช้พร้อมใช้งานเพียงใดและการขูดข้อมูลนั้นง่ายเพียงใด

เมื่อเร็ว ๆ นี้มีคนทำให้มันใหญ่ขึ้นเล็กน้อย ดูเหมือนไม่มีอะไรใหม่ในโลก #gravatar https://t.co/5ZxyGYYBR0
— jasperwillem (@jasperwillem) 6 ธันวาคม 2564

ในเดือนกรกฎาคม 2013 Dominique Bongard พูดที่ Passwordscon ในลาสเวกัสเกี่ยวกับการลบชื่อสมาชิกในฟอรัมการเมืองของฝรั่งเศส เขาอธิบายว่าสามารถเขียนโปรแกรมรวบรวมข้อมูลแบบกำหนดเองเพื่อรับแฮช MD5 สำหรับผู้ใช้ฟอรัมได้อย่างไร และแสดงให้เห็นว่าการโจมตีด้วยซอฟต์แวร์ถอดรหัสแบบกำหนดเองสามารถกู้คืนที่อยู่อีเมลของผู้ใช้ Gravatar ได้ 70%

Bogard ตั้งข้อสังเกตว่าการปิดชื่อสมาชิกฟอรัมทางการเมืองอาจเป็นอันตรายได้โดยเฉพาะในสถานที่ที่ผู้ใช้ฟอรัมไม่มีสิทธิ์ตามรัฐธรรมนูญในการแสดงความคิดเห็น หรือในกรณีที่ผู้เข้าร่วมอาจถูกคุกคามหรือโจมตี

Wordfence ตีพิมพ์คำแนะนำเกี่ยวกับ Gravatar ในปี 2559 ซึ่งอ้างอิงงานวิจัยของ Bongard เช่นเดียวกับงานก่อนหน้าที่ทำในปี 2552 ซึ่งนักวิจัยได้พิสูจน์ว่าเขาสามารถย้อนกลับวิศวกรประมาณ 10% ของ Gravatar แฮชไปยังที่อยู่อีเมล

Mark Maunder ผู้ก่อตั้งและ CEO ของ Wordfence อธิบายว่าการใช้แฮชที่อยู่อีเมลสามารถนำไปสู่การค้นหาแฮชที่แยกออกมาเพื่อค้นหาเว็บไซต์และบริการอื่น ๆ ที่บุคคลนั้นใช้ได้อย่างไร

"ตัวอย่างเช่น: ผู้ใช้อาจรู้สึกสบายใจที่จะมีชื่อเต็มและรูปโปรไฟล์ของพวกเขาปรากฏบนเว็บไซต์เกี่ยวกับการเล่นสกี" Maunder กล่าว “แต่พวกเขาอาจไม่ต้องการให้ชื่อหรือตัวตนของพวกเขาถูกเปิดเผยต่อสาธารณะบนเว็บไซต์ที่เชี่ยวชาญด้านเงื่อนไขทางการแพทย์ ผู้ที่ค้นคว้าข้อมูลบุคคลนี้สามารถดึงข้อมูลแฮช Gravatar ออกจากเว็บไซต์สกีพร้อมกับชื่อเต็มได้ จากนั้นพวกเขาสามารถ Google แฮชและระบุได้ว่าบุคคลนั้นมีอาการป่วยที่พวกเขาต้องการเก็บไว้เป็นส่วนตัว”

ผู้ใช้ Gravatar จำนวนมากไม่พอใจกับคำอธิบายของบริการที่ว่าข้อมูลทั้งหมดที่ผู้ใช้ป้อนนั้นเป็นข้อมูลสาธารณะ ซึ่งตัดสิทธิ์เหตุการณ์จากการถูกระบุว่าเป็นการละเมิด ในคำอธิบายเดียวกันนี้ บริการอ้างว่า API นั้นถูกใช้ในทางที่ผิด แทนที่จะยอมรับว่า API นั้นมีความเสี่ยงและน่าจะได้รับการปกป้องที่ดีกว่า

หลังจากหลายปีของนักวิจัยที่แสดงให้เห็นว่าสิ่งนี้เป็นไปได้ การขูด Gravatar เป็นการได้มาซึ่งข้อมูลที่ผิดจรรยาบรรณเพราะมีดโกนนั้นใช้สถาปัตยกรรมของบริการในทางที่ผิดหรือไม่? หรือผิดจรรยาบรรณที่ Gravatar ทำให้สามารถรวบรวมข้อมูลโปรไฟล์จำนวนมากเป็นเวลาหลายปี?

ดูเหมือนว่ามีการเข้าถึงข้อมูลของคุณในแบบที่คุณไม่ได้ตั้งใจ (หากมีเพียงคำสำหรับสิ่งนั้น) แต่คุณไม่ได้ตั้งใจจะเป็นอย่างนั้นหรือ
— คริสโตเฟอร์ฟอสเตอร์ (@CF99) 6 ธันวาคม 2564

“หากใครก็ตามสามารถใช้ API ได้นอกเหนือจากจุดประสงค์และสามารถรวบรวมข้อมูลซึ่งไม่สามารถเข้าถึงได้ผ่านวิธี 'มาตรฐาน'… มันเป็นการละเมิด” ผู้ใช้ Twitter @RegGBlinker ให้ความเห็นเกี่ยวกับเรื่องนี้

ไม่ต้องสงสัย Gravatar ต้องการลดความเสียหายที่เกิดจากการแจ้งเตือนการละเมิดที่ส่งไปยังผู้ใช้เมื่อเช้านี้อย่างไม่ต้องสงสัย แต่การทำให้สิ่งนี้เป็นปัญหาของความหมายไม่ได้ทำให้มั่นใจ ผู้ใช้ส่วนใหญ่ไม่ได้ตั้งใจที่จะแบ่งปันอีเมล Gravatar กับใครก็ตามที่มีแรงจูงใจในการขูดข้อมูลที่ถูกเปิดเผยสำหรับการเก็บเกี่ยว แม้ว่าข้อมูลนั้นจะถูกทิ้งผ่าน "การละเมิด" ของ API ของพวกเขา แต่ก็รู้สึกเหมือนเป็นการละเมิดต่อผู้ที่คาดหวังว่าข้อมูลผู้ใช้จะไม่พร้อมสำหรับการเผยแพร่ที่อื่น

เหตุการณ์ดังกล่าวถือเป็นเครื่องเตือนใจว่า ตามที่ Gravatar เน้นย้ำในวันนี้ ข้อมูลที่ผู้ใช้เลือกที่จะแชร์แบบสาธารณะนั้นถูกเปิดเผยโดย API ของบริการและไม่เป็นส่วนตัว ในฐานะผู้ใช้ มีความเสี่ยงที่จะเพลิดเพลินกับความสะดวกโดยไม่ต้องอัปโหลดรูปโปรไฟล์ของคุณหลายครั้งในเว็บไซต์ต่างๆ ผู้เผยแพร่ที่ต้องการให้ไซต์ของตนเสนอตัวเลือกที่คำนึงถึงความเป็นส่วนตัวมากขึ้นควรมองหาทางเลือกอื่น เช่น Local Gravatars หรือ Pixel Avatars