Gravatar 今天在“Have I Being Pwned”之后回答问题,这是一项数据臀位检查服务, 发推文 “新抓取的数据:Gravatar 去年 10 月通过枚举向量抓取了 1.67 亿个配置文件。 1.14 亿 MD5 电子邮件地址哈希随后被破解并与姓名和用户名一起分发。“它声称这些电子邮件地址中有 72% 已经使用该服务记录。
该推文引用了 2020 年 10 月的 BleepingComputer 文章,标题为“在线头像服务 Gravatar 允许大量收集用户信息,”这解释了最初是如何获得哈希值的。 在意大利安全研究员 Carlo Di Dato 无法从 Gravatar 得到答案后,他向该出版物展示了如何通过使用与每个配置文件关联的数字 ID 来获取用户数据来访问用户数据。 然后,他编写了一个测试脚本,依次访问从 ID 1 到 5000 的个人资料 URL,并说他能够毫无问题地收集前 5000 个 Gravatar 用户的 JSON 数据。
许多 Gravatar 用户对今天早上来自 Firefox Monitor 和 Have I Being Pwned 的通知感到震惊和不安,称他们的信息出现在新的数据泄露中。
BleepingComputer 的文章在今天 Have I Being Pwned 披露后获得了更多关注,促使 Gravatar 在推特上回复:
Gravatar 使用经过身份验证的个人资料帮助您在线建立身份。 我们知道网上有人声称 Gravatar 被黑了,所以我们想澄清错误信息。
Gravatar 没有被黑。 我们的服务让您可以控制要在线共享的数据。 您选择公开共享的数据通过我们的 API 提供。 用户可以选择分享他们的全名、显示名称、位置、电子邮件地址和简短的传记。
去年,一名安全研究人员通过滥用我们的 API 抓取了公共 Gravatar 数据——用于引用用户头像的电子邮件地址的用户名和 MD5 哈希值。 我们立即修补了集体收集公共资料数据的能力。 如果您想详细了解 Gravatar 的工作原理或调整您个人资料中共享的数据,请访问 Gravatar.com.
Gravatar 不认为该事件是数据泄露,这就是为什么该服务没有披露 2020 年响应安全研究人员所做的更改。
Automattic 拥有的服务用于 WordPress 网站、GitHub、Stackoverflow 和其他在线位置。 安全研究人员和隐私倡导者多年来一直警告 Gravatar 的隐私攻击。 许多人已经证明了用户信息是多么容易获得,以及抓取它是多么容易。
2013 年 7 月,Dominique Bongard 在拉斯维加斯的 Passwordscon 上谈到 去匿名化法国政治论坛的成员. 他解释了如何编写自定义爬虫来为论坛用户获取 MD5 哈希值,并证明使用自定义破解软件的攻击能够恢复 70% 的 Gravatar 用户的电子邮件地址。
Bogard 指出,在论坛用户没有言论自由的宪法权利或参与者可能会受到骚扰或攻击的地方,取消政治论坛成员的匿名可能特别危险。
文字围栏 发布了咨询 关于 2016 年的 Gravatar,它引用了 Bongard 的研究,以及 2009 年的早期工作,研究人员证明他可以 反向工程 ~10% 的 Gravatar 哈希到电子邮件地址.
Wordfence 创始人兼首席执行官 Mark Maunder 解释了如何使用电子邮件地址哈希会导致人们使用谷歌搜索提取的哈希来查找个人正在使用的其他网站和服务。
“例如:用户可能会很乐意让他们的全名和个人资料照片出现在有关滑雪的网站上,”Maunder 说。 “但他们可能不希望自己的姓名或身份在专门研究医疗状况的网站上向公众公开。 研究此人的人可以从滑雪网站中提取他们的 Gravatar 哈希以及他们的全名。 然后他们可以谷歌哈希并确定该人患有他们想要保密的医疗状况。”
许多 Gravatar 用户对该服务的解释不满意,即用户输入的所有信息都是公开的,这使该事件没有资格被标记为违规。 然而,在同样的解释中,该服务声称 API 被滥用,而不是承认它易受攻击并且本可以得到更好的保护。
经过多年的研究人员证明这是可能的,抓取 Gravatar 是否是一种不道德的数据采集,因为抓取工具正在滥用服务的架构? 或者,Gravatar 多年来使大量收集个人资料数据成为可能是不道德的?
听起来您的数据是以您不希望的方式访问的(如果只有一个词的话),但您不是故意的?
— 克里斯托弗·福斯特 (@CF99) 2021 年 12 月 6 日
推特用户@RegGBlinker 对此事发表评论说:“如果有人能够将 API 用于其预期目的以外的用途,并且可以收集通过‘标准’手段无法获得的信息……那就是违规行为。”
Gravatar 无疑希望将今天早上向其用户发送的违规通知所造成的损害降到最低,但将其作为语义问题并不能令人放心。 大多数用户不打算将他们的 Gravatar 电子邮件分享给任何有动机抓取为收集而暴露的数据的人。 即使这些数据是通过“滥用”他们的 API 转储的,对于那些期望用户数据无法在其他地方分发的人来说,这感觉就像是一种违规。
该事件提醒我们,正如 Gravatar 今天强调的那样,用户选择公开共享的数据是通过服务的 API 提供的,而不是私有的。 作为用户,享受不必在各种网站上多次上传您的个人资料照片的便利是有风险的。 希望其网站提供更具隐私意识的选项的发布商应该寻找替代方案,例如 本地头像 或者 像素头像.
像这样:
喜欢加载…