Gravatar在“我被玩弄了吗”今天之后回答问题,它是一个数据后膛检查服务,发推文说“新的抓取数据:去年 10 月,Gravatar 通过枚举向量抓取了 1.67 亿份个人资料。随后的 1.14 亿个 MD5 电子邮件地址哈希被破解并与名称和用户名一起分发。”它声称这些电子邮件地址中有 72% 已被记录在该服务中。
该推文引用了 2020 年 10 月 BleepingComputer 的一篇题为“在线头像服务 Gravatar 允许大量收集用户信息”的文章,该文章首先解释了哈希是如何获得的。在意大利安全研究员 Carlo Di Dato 无法从 Gravatar 获得答案后,他向该出版物展示了如何通过使用与每个配置文件关联的数字 ID 来获取用户数据来访问用户数据。然后,他编写了一个测试脚本,依次访问 ID 1 到 5000 的个人资料 URL,并表示他能够毫无问题地为前 5000 名 Gravatar 用户收集 JSON 数据。
许多 Gravatar 用户对今天早上来自 Firefox Monitor 和 Have I Being Pwned 的通知感到震惊和不安,他们的信息出现在新的数据泄露事件中。
继今天的 Have I Being Pwned 揭露之后,BleepingComputer 的文章获得了更多关注,促使 Gravatar 回复推文:
Gravatar 帮助您建立一个使用经过身份验证的个人资料在线身份。我们知道网上有人声称 Gravatar 已被黑客入侵,因此我们想澄清错误信息。
Gravatar 没有被黑。我们的服务让您可以控制在线共享的数据。您选择公开分享的数据是通过我们的 API 提供的。用户可以选择分享他们的全名、显示名称、位置、电子邮件地址和简短的传记。
去年,一名安全研究人员滥用我们的 API 来抓取公共 Gravatar 数据——用于引用用户头像的用户名和电子邮件地址的 MD5 哈希值。我们立即修补了集体收集公共资料数据的能力。如果您想详细了解 Gravatar 的工作原理或调整您个人资料上共享的数据,请访问 Gravatar.com。
Gravatar 不认为该事件是数据泄露,这这就是为什么服务 2020 Response 安全研究人员所做的更改没有被披露。
Automattic 拥有的服务用于 WordPress 网站、GitHub、Stackoverflow 和其他在线位置。多年来,安全研究人员和隐私倡导者一直在警告 Gravatar 的隐私攻击。许多人已经证明了用户信息是多么容易获得,以及抓取它是多么容易。
Dominique Bongard 在 2013 年 7 月的拉斯维加斯密码大会上谈到了法国政治论坛成员的去匿名化。他解释了如何编写自定义爬虫来获取论坛用户价值的 MD5 哈希值,并证明了使用自定义的攻击破解软件能够恢复 70% 的 Gravatar 用户的电子邮件地址。
Bogard 指出,在论坛用户没有言论自由的宪法权利或参与者可能受到骚扰或攻击的地方,对政治论坛成员进行去匿名化可能特别危险。
Text Fence 在 2016 年发布了关于 Gravatar 的咨询,其中引用了 Bongard 的研究,以及 2009 年的早期工作,其中一名研究人员证明他可以将约 10% 的 Gravatar 哈希反向工程到电子邮件地址中。
< p>Wordfence 创始人兼首席执行官 Mark Maunder 解释了使用电子邮件地址哈希如何引导人们使用 Google 搜索提取的哈希来查找个人正在使用的其他网站和服务。
“示例:用户可能会很高兴在有关滑雪的网站上显示他们的全名和头像,”Maunder 说。 “但他们可能不希望自己的姓名或身份在专门研究医疗状况的网站上向公众公布。研究此人的人可以从滑雪网站上提取他们的 Gravatar 哈希以及他们的全名。然后他们可以谷歌它。并确定此人有他们想保密的医疗状况。”
许多 Gravatar 用户对该服务的解释不满意,即用户输入的所有信息都是公开的,这使得事件无法报告。被标记为违规。但是,在相同的解释中,该服务声称 API 被滥用,而不是承认它易受攻击并且本可以得到更好的保护。
经过多年的研究人员证明这一点有可能吗,抓取 Gravatar 是否是一种不道德的数据收集形式,因为抓取工具滥用了服务的架构?还是说 Gravatar 多年来使大规模收集个人资料数据成为可能是不道德的?
听起来您的数据正在以您不希望的方式访问(如果只有一个词的话),但您没有不是这个意思吗?
—克里斯托弗·福斯特 (@CF99) 2021 年 12 月 6 日
Twitter 用户@RegGBlinker 对此评论说:“如果有人可以将 API 用于其预期目的以外的其他用途,并允许收集无法通过‘标准’手段获得的信息……那就是一个违规行为。”
Gravatar 无疑希望今天早上将违规行为发送给其用户。通知造成的损害已降至最低,但将其作为语义问题并不能令人放心。大多数用户不打算与任何有动机收集公开数据的人分享他们的 Gravatar 电子邮件。即使这些数据是通过“滥用”他们的 API 转储的,对于那些希望用户数据不会分发到其他地方的人来说,这感觉就像是一种破坏。
这一事件提醒我们,正如 Gravatar 今天强调的那样,用户选择公开共享的数据是通过服务的 API 提供的,而不是私下提供的。作为用户,享受不必在各种网站上多次上传个人资料照片的便利是有风险的。希望自己的网站提供更多注重隐私的选项的发布商应该寻找替代方案,例如原生头像或像素头像。
喜欢这样:
喜欢正在加载中...
来源
