Gravatar, “Pwned Miyim” Hizmetinin Kullanıcıları Bir İhlalle Bildirdikten Sonra Hacklenmediğini Söyledi

Yayınlanan: 2021-12-07

Gravatar bugün, bir veri makat kontrol hizmeti olan “Pwned Mıydım?” tweetini attıktan sonra soruları yanıtlıyor: “ Yeni kazınmış veriler: Gravatar, geçen yıl Ekim ayında bir numaralandırma vektörü aracılığıyla 167 milyon profili kazıdı. MD5 e-posta adresi karmalarının 114 milyonu daha sonra kırıldı ve adlar ve kullanıcı adlarıyla birlikte dağıtıldı. “ Bu e-posta adreslerinin %72'sinin hizmete zaten kaydedildiğini iddia ediyor.

Tweet, Ekim 2020'deki "Çevrimiçi avatar hizmeti Gravatar, kullanıcı bilgilerinin toplu olarak toplanmasına izin verir" başlıklı ve hash'lerin orijinal olarak nasıl elde edildiğini açıklayan bir BleepingComputer makalesine atıfta bulundu. İtalyan güvenlik araştırmacısı Carlo Di Dato, Gravatar'dan yanıt alamayınca yayına, onu almak için her profille ilişkilendirilmiş sayısal bir kimlik kullanarak kullanıcı verilerine nasıl erişilebileceğini gösterdi. Daha sonra, ID'ler 1'den 5000'e kadar olan profil URL'lerini sırayla ziyaret eden bir test komut dosyası yazdı ve ilk 5000 Gravatar kullanıcısının JSON verilerini sorunsuz bir şekilde toplayabildiğini söyledi.

Birçok Gravatar kullanıcısı, bu sabah Firefox Monitor ve Have I Been Pwned tarafından bilgilerinin yeni bir veri ihlaliyle ortaya çıktığını belirten bildirimler karşısında şaşırdı ve üzüldü.

Ah, hadi ama günümü mahvetmenin yolu @gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 6 Aralık 2021

BleepingComputer makalesi, Have I Been Pwned'ın bugünkü açıklamasından sonra daha fazla ilgi gördü ve Gravatar'ı Twitter'da yanıt vermeye teşvik etti:

Gravatar, kimliğinizi doğrulanmış bir profille çevrimiçi olarak belirlemenize yardımcı olur. Gravatar'ın saldırıya uğradığını iddia eden çevrimiçi konuşmanın farkındayız, bu nedenle yanlış bilgileri temizlemek istiyoruz.

Gravatar hacklenmedi. Hizmetimiz, çevrimiçi olarak paylaşmak istediğiniz veriler üzerinde kontrol sahibi olmanızı sağlar. Herkese açık olarak paylaşmayı seçtiğiniz veriler API'miz aracılığıyla kullanıma sunulur. Kullanıcılar tam adlarını, görünen adlarını, konumlarını, e-posta adreslerini ve kısa bir biyografilerini paylaşmayı seçebilirler.
Geçen yıl, bir güvenlik araştırmacısı, API'mizi kötüye kullanarak kullanıcıların avatarlarına referans vermek için kullanılan kullanıcı adları ve e-posta adreslerinin MD5 karmalarından oluşan genel Gravatar verilerini kazıdı. Herkese açık profil verilerini toplu halde toplama özelliğini hemen düzelttik. Gravatar'ın nasıl çalıştığı hakkında daha fazla bilgi edinmek veya profilinizde paylaşılan verileri ayarlamak istiyorsanız, lütfen Gravatar.com'u ziyaret edin.

Gravatar, olayı bir veri ihlali olarak görmüyor, bu nedenle hizmet, 2020'de güvenlik araştırmacısına yanıt olarak yapılan değişiklikleri açıklamadı.

Automattic'in sahip olduğu hizmet, WordPress web siteleri, GitHub, Stackoverflow ve diğer çevrimiçi yerlerde kullanılır. Güvenlik araştırmacıları ve gizlilik savunucuları, yıllardır Gravatar'a yönelik gizlilik saldırıları konusunda uyardılar. Birçoğu, kullanıcı bilgilerinin ne kadar hazır olduğunu ve bunları kazımanın ne kadar kolay olduğunu göstermiştir.

Birisi yakın zamanda biraz daha büyük yaptı. Görünüşe göre dünyada yeni bir şey yok. #gravatar https://t.co/5ZxyGYYBR0

— jasperwillem (@jasperwillem) 6 Aralık 2021

Temmuz 2013'te Dominique Bongard, Las Vegas'taki Passwordscon'da Fransız Siyasi Forumlarının Üyelerini Anonimleştirme hakkında konuştu. Forum kullanıcıları için MD5 karmalarını elde etmek için özel bir tarayıcının nasıl yazılabileceğini açıkladı ve özel kırma yazılımıyla yapılan bir saldırının Gravatar kullanıcılarının e-posta adreslerinin %70'ini kurtarabildiğini gösterdi.

Bogard, siyasi forumların üyelerinin anonimleştirilmesinin, forum kullanıcılarının anayasal ifade özgürlüğü hakkının olmadığı veya katılımcıların tacize veya saldırıya uğrama ihtimalinin yüksek olduğu yerlerde özellikle tehlikeli olabileceğini kaydetti.

Wordfence, 2016'da Gravatar ile ilgili olarak Bongard'ın araştırmasına ve 2009'da yapılan ve bir araştırmacının gravatar karmalarının ~ %10'unu e-posta adreslerine tersine mühendislik yapabileceğini kanıtladığı daha önceki çalışmalara atıfta bulunan bir tavsiye yayınladı.

Wordfence kurucusu ve CEO'su Mark Maunder, e-posta adresi karmalarının kullanılmasının, insanların, bir bireyin kullandığı diğer web sitelerini ve hizmetleri bulmak için çıkarılan karmaları aramasına nasıl yol açabileceğini açıkladı.

Maunder, "Örneğin: Bir kullanıcı tam adının ve profil fotoğrafının kayakla ilgili bir web sitesinde görünmesi konusunda rahat olabilir" dedi. Ancak tıbbi bir durumda uzmanlaşmış bir web sitesinde adlarının veya kimliklerinin halka açıklanmasını istemeyebilirler. Bu kişiyi araştıran biri, tam adlarıyla birlikte kayak web sitesinden Gravatar karmalarını çıkarabilir. Daha sonra, hash'i Google'da bulabilir ve bireyin gizli tutmak istedikleri tıbbi bir durumdan muzdarip olduğunu belirleyebilirler."

Pek çok Gravatar kullanıcısı, hizmetin, kullanıcıların girdiği tüm bilgilerin herkese açık olduğunu açıklamasından memnun değildi ve bu, olayı bir ihlal olarak nitelendirmekten diskalifiye etti. Ancak aynı açıklamada hizmet, savunmasız olduğunu ve daha iyi korunabileceğini kabul etmek yerine API'nin kötüye kullanıldığını iddia ediyor.

Bunun mümkün olduğunu gösteren yıllarca araştırmacılardan sonra, kazıyıcı hizmetin mimarisini kötüye kullandığı için Gravatar'ı kazımak etik olmayan bir veri toplama mı? Yoksa Gravatar'ın profil verilerini toplu olarak yıllarca toplamayı mümkün kılması etik dışı mı?

Bu, verilerinize istemediğiniz bir şekilde erişilmiş gibi görünüyor (keşke bunun için bir kelime olsaydı), ama olmak istemediniz mi?
— Christopher Foster (@CF99) 6 Aralık 2021

Twitter kullanıcısı @RegGBlinker konuyla ilgili olarak “Biri API'yi amacı dışında kullanabiliyorsa ve aksi takdirde 'standart' yollarla elde edilemeyecek bilgileri toplayabilirse… bu bir ihlaldir” dedi.

Gravatar, kuşkusuz bu sabah kullanıcılarına gönderilen ihlal bildirimlerinin verdiği zararı en aza indirmek istiyor, ancak bunu bir anlambilim sorunu haline getirmek güven verici değildi. Çoğu kullanıcı, Gravatar e-postalarını, hasat için açığa çıkan verileri kazıma motivasyonu olan kişilerle paylaşma niyetinde değildi. Bu veriler API'lerinin "kötüye kullanımı" yoluyla atılmış olsa bile, kullanıcı verilerinin başka bir yerde dağıtılmayacağını bekleyenler için bir ihlal gibi geliyor.

Olay, Gravatar'ın bugün vurguladığı gibi, kullanıcıların herkese açık olarak paylaşmayı seçtiği verilerin hizmetin API'si tarafından kullanıma sunulduğunu ve özel olmadığını hatırlatıyor. Bir kullanıcı olarak, profil fotoğrafınızı çeşitli web sitelerine birden çok kez yüklemek zorunda kalmamanın rahatlığını yaşamanın riskleri vardır. Sitelerinin daha fazla gizlilik bilincine sahip bir seçenek sunmasını isteyen yayıncılar, Yerel Gravatarlar veya Piksel Avatarlar gibi alternatiflere bakmalıdır.