L’empresa d’alerta de seguretat HaveIBeenPwned va notificar als usuaris que la informació del perfil de 114 milions d’usuaris de Gravatar s’havia filtrat en línia en el que van qualificar de violació de dades. Gravatar nega que hagi estat piratejat.
Aquí teniu una captura de pantalla del correu electrònic que es va enviar als usuaris de HaveIBeenPwned que va caracteritzar l’esdeveniment Gravatar com una violació de dades:
Odio rebre correus electrònics d’aquest noi 😭 pic.twitter.com/rkZrmzU7hp
— Troy Hunt (@troyhunt) 6 de desembre de 2021
Vulnerabilitat d’enumeració de Gravatar
La informació d’usuari de cada persona amb un compte de Gravatar estava oberta a ser baixada mitjançant un programari que “rasca” les dades.
Anunci
Continueu llegint a continuació
Tot i que tècnicament això no és una infracció, la manera en què Gravatar emmagatzemava la informació de l’usuari va facilitar que una persona amb intenció maliciosa obtingués informació de l’usuari que es podria utilitzar com a part d’un altre atac per obtenir contrasenyes i accés.
Els comptes de Gravatar són informació pública. Tanmateix, els comptes individuals del perfil d’usuari no es mostren públicament de manera que es pugui navegar fàcilment. Normalment, una persona hauria de conèixer la informació del compte com el nom d’usuari per trobar el compte i tota la informació disponible públicament.
Un investigador de seguretat va descobrir a finals del 2020 que la informació del compte d’usuari de Gravatar es va registrar en ordre numèric. Un informe de notícies de l’època descriu com l’investigador de seguretat va mirar un fitxer JSON enllaçat a la pàgina del perfil va revelar un número d’identificació que corresponia al número numèric assignat a aquest usuari.
El problema amb aquest número d’identificació d’usuari és que es podria arribar al perfil amb aquest número.
Anunci
Continueu llegint a continuació
Com que el número no es va generar aleatòriament sinó en ordre numèric, qualsevol persona que volgués accedir a tots els noms d’usuari de Gravatar podia accedir a aquesta informació sol·licitant i eliminant els perfils d’usuari en ordre numèric.
Esdeveniment de raspat de dades
Una violació de dades es defineix com quan una persona no autoritzada accedeix a informació que no està disponible públicament.
La informació de Gravatar estava disponible públicament, però un foraster hauria de conèixer el nom d’usuari de l’usuari de Gravatar per poder accedir al perfil d’usuari de Gravatar. A més, l’adreça de correu electrònic d’aquest usuari es va emmagatzemar d’una manera xifrada insegura (anomenada hash MD5).
Un hash MD5 és insegur i es pot desxifrar fàcilment (també conegut com a craquejat). L’emmagatzematge d’adreces de correu electrònic en format MD5 només proporcionava una protecció de seguretat menor.
Això vol dir que un cop un atacant descarregava els noms d’usuari i el hash MD5 del correu electrònic, era senzill extreure l’adreça de correu electrònic de l’usuari.
Segons l’investigador de seguretat que va descobrir inicialment la vulnerabilitat d’enumeració de noms d’usuari, Gravatar només tenia “pràcticament cap limitació de velocitat”, cosa que significa que un bot de raspador podia sol·licitar milions de perfils d’usuari sense ser aturat o desafiat per comportament sospitós.
D’acord amb la informe de notícies d’octubre de 2020 que va divulgar originalment la vulnerabilitat:
“Tot i que les dades proporcionades pels usuaris de Gravatar als seus perfils ja són públiques, l’aspecte fàcil d’enumeració d’usuaris del servei sense pràcticament cap limitació de velocitat genera preocupacions pel que fa a la recollida massiva de dades dels usuaris”.
Gravatar minimitza la recollida de dades d’usuari
Gravatar va tuitejar declaracions públiques que minimitzaven l’impacte de la recollida d’informació dels usuaris.
Gravatar ajuda a establir la vostra identitat en línia amb un perfil autenticat. Som conscients de la conversa en línia que afirma que Gravatar va ser piratejat, així que volem aclarir la desinformació. (1/4)
— Gravatar.com (@gravatar) 6 de desembre de 2021
Gravatar no va ser piratejat. El nostre servei us permet controlar les dades que voleu compartir en línia. Les dades que trieu compartir públicament estan disponibles mitjançant la nostra API. Els usuaris poden optar per compartir el seu nom complet, nom visualitzat, ubicació, adreça de correu electrònic i una breu biografia.
(2/4)— Gravatar.com (@gravatar) 6 de desembre de 2021
Anunci
Continueu llegint a continuació
L’any passat, un investigador de seguretat va esborrar les dades públiques de Gravatar: noms d’usuari i hash MD5 d’adreces electròniques utilitzades per fer referència als avatars dels usuaris abusant de la nostra API. Immediatament vam aplicar pedaços a la capacitat de recollir les dades del perfil públic en massa. (3/4)
— Gravatar.com (@gravatar) 6 de desembre de 2021
El últim tuit a la sèrie de Gravatar va animar els lectors a conèixer com funciona Gravatar:
“Si voleu obtenir més informació sobre com funciona Gravatar o ajustar les dades compartides al vostre perfil, visiteu http://Gravatar.com”.
Irònicament, Gravatar es va enllaçar a un protocol insegur de l’URL, mitjançant HTTP. En arribar a l’URL, no hi va haver cap redirecció a Gravatar a una versió segura (HTTPS) de la pàgina web, cosa que només va soscavar els seus esforços per projectar una sensació de seguretat.
Els usuaris de Twitter reaccionen
Un usuari de Twitter es va oposar a l’ús de la paraula “incompliment” perquè la informació estava disponible públicament.
Crec que va ser injust @troyhunt per qualificar-ho com a incompliment. Va ser un raspat de pantalla, no van obtenir res que no estigués disponible públicament.
— Peter Morris #BlackLivesMatterToo (@MrPeterLMorris) 6 de desembre de 2021
Anunci
Continueu llegint a continuació
La persona darrere del lloc web HaveIBeenPwned va respondre:
Per això diu “dades scraped”. Però també podríeu argumentar que l'”incompliment” és adequat quan les dades s’obtenen i s’utilitzen malament fora de l’àmbit previst amb el qual es van proporcionar.https://t.co/FwiqpUFSsp
— Troy Hunt (@troyhunt) 6 de desembre de 2021
Per què és important l’esdeveniment de raspat de Gravatar
Troy Hunt, la persona darrere del lloc web HaveIBeenPwned, va explicar en una sèrie de tuits per què és important l’esdeveniment de raspat de Gravatar.
Troy va afirmar que les dades que els usuaris van confiar a Gravatar es van utilitzar d’una manera inesperada.
La confiança dels usuaris de Gravatar es va erosionar
L’argument de “bé, són dades públiques de totes maneres” és una visió de la minoria. La gran majoria de la gent diu constantment: “No esperava que les meves dades s’utilitzessin d’aquesta manera i estic descontent que ara estiguin allà fora i es transmetin en aquest format”.
— Troy Hunt (@troyhunt) 6 de desembre de 2021
Què pots fer realment al respecte? Sovint, la gent sol·licita que el servei afectat suprimi les seves dades. Això, òbviament, no torna a posar el geni a l’ampolla, però és una acció raonable un cop erosionada la confiança.
— Troy Hunt (@troyhunt) 6 de desembre de 2021
Els usuaris volen controlar la seva informació de Gravatar
Troy va afirmar que els usuaris volen ser conscients de com s’utilitza i s’accedeix a la seva informació.
Anunci
Continueu llegint a continuació
Com a mínim, és consciència. Vull saber, *la majoria* de la gent vol saber, quan les nostres dades personals apareixen en llocs que no esperàvem, i això és precisament el que @haveibeenpwned fa.
— Troy Hunt (@troyhunt) 6 de desembre de 2021
Els usuaris de Gravatar estaven protegits?
Es podria argumentar que un compte de Gravatar pot ser públic però no s’aconsegueix fàcilment com a primer pas d’un esdeveniment de pirateria per part de persones amb intenció maliciosa.
Gravatar va afirmar que després que es va revelar la vulnerabilitat de l’atac d’enumeració, van prendre mesures per tancar-la per evitar que es baixés més informació de l’usuari.
Així, d’una banda, Gravatar va prendre mesures per evitar que aquells amb intencions malicioses recopilin informació dels usuaris. Però, d’altra banda, van dir que els informes de pirateig de Gravatar són desinformació.
Però el fet és que HaveIBeenPwned no el va anomenar un esdeveniment de pirateria informàtica, sinó que el van qualificar d’incompliment.
Es podria argumentar que l’ús de Gravatar del hash MD5 per emmagatzemar dades de correu electrònic era insegur i en el moment en què els pirates informàtics van trencar el xifratge insegur, el raspat anormal de la “informació pública” es va convertir en una violació.
Anunci
Continueu llegint a continuació
Molts usuaris de Gravatar no estan especialment contents i busquen respostes:
Publicareu aquesta informació al vostre lloc?
Les persones que hagin rebut l’avís de Gravatr d’He estat Pwned visitaran el vostre lloc per obtenir la informació més recent.
He comprovat, no hi ha res al teu lloc.
Els usuaris de Gravatar no haurien de ser obligats a contactar amb l’assistència per obtenir respostes.
— Deborah Edwards-Oñoro (@redcrew) 6 de desembre de 2021