Gravatar sta rispondendo alle domande oggi dopo “Have I Been Pwned”, un servizio di controllo della violazione dei dati, twittato “Nuovi dati raschiati: Gravatar ha avuto 167 milioni di profili raschiati nell’ottobre dello scorso anno tramite un vettore di enumerazione. 114 milioni di hash dell’indirizzo e-mail MD5 sono stati successivamente craccati e distribuiti insieme a nomi e nomi utente.“ Afferma che il 72% di questi indirizzi e-mail era già registrato con il servizio.
Il tweet faceva riferimento a un articolo di BleepingComputer di ottobre 2020 intitolato “Il servizio di avatar online Gravatar consente la raccolta di massa di informazioni sugli utenti“, che spiega come sono stati originariamente ottenuti gli hash. Dopo che il ricercatore di sicurezza italiano Carlo Di Dato non è stato in grado di ottenere una risposta da Gravatar, ha dimostrato alla pubblicazione come è possibile accedere ai dati dell’utente utilizzando un ID numerico associato a ciascun profilo per recuperarlo. Ha quindi scritto uno script di test che visita in sequenza gli URL del profilo da ID 1 a 5000 e ha affermato di essere in grado di raccogliere dati JSON dei primi 5000 utenti Gravatar senza problemi.
Molti utenti Gravatar sono rimasti sorpresi e sconvolti dagli avvisi di Firefox Monitor e Have I Been Pwned questa mattina, che affermavano che le loro informazioni erano apparse in una nuova violazione dei dati.
L’articolo di BleepingComputer ha guadagnato più attenzione dopo la rivelazione di Have I Been Pwned oggi, spronando Gravatar a rispondi su Twitter:
Gravatar ti aiuta a stabilire la tua identità online con un profilo autenticato. Siamo a conoscenza della conversazione online che afferma che Gravatar è stato violato, quindi vogliamo chiarire la disinformazione.
Gravatar non è stato violato. Il nostro servizio ti dà il controllo sui dati che desideri condividere online. I dati che scegli di condividere pubblicamente sono resi disponibili tramite la nostra API. Gli utenti possono scegliere di condividere il proprio nome completo, nome visualizzato, posizione, indirizzo e-mail e una breve biografia.
L’anno scorso, un ricercatore di sicurezza ha raschiato i dati Gravatar pubblici: nomi utente e hash MD5 di indirizzi e-mail utilizzati per fare riferimento agli avatar degli utenti abusando della nostra API. Abbiamo immediatamente modificato la capacità di raccogliere in massa i dati del profilo pubblico. Se vuoi saperne di più su come funziona Gravatar o modificare i dati condivisi sul tuo profilo, visita Gravatar.com.
Gravatar non considera l’incidente una violazione dei dati, motivo per cui il servizio non ha rivelato le modifiche apportate in risposta al ricercatore di sicurezza nel 2020.
Il servizio di proprietà di Automattic viene utilizzato su siti Web WordPress, GitHub, Stackoverflow e altri luoghi online. Ricercatori di sicurezza e sostenitori della privacy hanno messo in guardia da anni sugli attacchi alla privacy su Gravatar. Molti hanno dimostrato quanto le informazioni dell’utente siano facilmente disponibili e quanto sia facile estrarle.
Nel luglio 2013, Dominique Bongard ha parlato al Passwordscon di Las Vegas di De-anonimizzazione dei membri dei forum politici francesi. Ha spiegato come è possibile scrivere un crawler personalizzato per acquisire hash MD5 per gli utenti del forum e ha dimostrato che un attacco con software di cracking personalizzato è stato in grado di recuperare il 70% degli indirizzi e-mail degli utenti Gravatar.
Bogard ha osservato che rendere anonimi i membri dei forum politici può essere particolarmente pericoloso in luoghi in cui gli utenti dei forum non hanno il diritto costituzionale alla libertà di parola, o dove i partecipanti potrebbero essere molestati o attaccati.
recinto di parole pubblicato un avviso per quanto riguarda Gravatar nel 2016, che faceva riferimento alla ricerca di Bongard, così come il lavoro precedente svolto nel 2009 in cui un ricercatore ha dimostrato di poter decodificare ~10% di hash gravatar negli indirizzi e-mail.
Il fondatore e CEO di Wordfence, Mark Maunder, ha spiegato come l’utilizzo degli hash degli indirizzi e-mail può portare le persone a cercare su Google l’hash estratto per trovare altri siti Web e servizi che un individuo sta utilizzando.
“Ad esempio: un utente può sentirsi a proprio agio se il proprio nome completo e la foto del profilo vengono visualizzati su un sito Web sullo sci”, ha affermato Maunder. “Ma potrebbero non volere che il loro nome o la loro identità vengano esposti al pubblico su un sito web specializzato in una condizione medica. Qualcuno che effettua ricerche su questa persona potrebbe estrarre il proprio hash Gravatar dal sito Web di sci insieme al proprio nome completo. Potrebbero quindi Google l’hash e determinare che l’individuo soffre di una condizione medica che voleva mantenere privato.
Molti utenti Gravatar non erano soddisfatti della spiegazione del servizio secondo cui tutte le informazioni inserite dagli utenti erano pubbliche, il che ha escluso l’incidente dall’essere etichettato come violazione. Nella stessa spiegazione, tuttavia, il servizio afferma che l’API è stata abusata, invece di ammettere che era vulnerabile e che avrebbe potuto essere protetta meglio.
Dopo anni di ricercatori che hanno dimostrato che ciò era possibile, scraping Gravatar è un’acquisizione di dati non etica perché lo scraper sta abusando dell’architettura del servizio? O non è etico che Gravatar abbia permesso di raccogliere dati di profilo in massa per anni?
“Se qualcuno è in grado di utilizzare un’API per scopi diversi da quelli previsti e può raccogliere informazioni che altrimenti non sarebbero disponibili tramite mezzi ‘standard’… è una violazione”, ha commentato l’utente di Twitter @RegGBlinker sulla questione.
Gravatar vuole indubbiamente ridurre al minimo il danno causato dalle notifiche di violazione inviate questa mattina ai suoi utenti, ma rendere questo un problema di semantica non è stato rassicurante. La maggior parte degli utenti non ha intenzione di condividere le proprie email Gravatar con chiunque abbia la motivazione per raschiare i dati che sono stati esposti per la raccolta. Anche se quei dati sono stati scaricati tramite “abuso” della loro API, sembra una violazione per coloro che si aspettavano che i dati degli utenti non sarebbero stati disponibili per la distribuzione altrove.
L’incidente serve a ricordare che, come ha sottolineato oggi Gravatar, i dati che gli utenti scelgono di condividere pubblicamente sono resi disponibili dall’API del servizio e non sono privati. Come utente, ci sono rischi nel godere della comodità di non dover caricare la foto del tuo profilo più volte su vari siti web. Gli editori che desiderano che i loro siti offrano un’opzione più attenta alla privacy dovrebbero cercare alternative come Gravatar locali o Avatar di pixel.