Gravatar 今天在「Have I Being Pwned」之後回答問題,這是一項數據臀位檢查服務, 發推文 「新抓取的數據:Gravatar 去年 10 月通過枚舉向量抓取了 1.67 億個配置文件。 1.14 億 MD5 電子郵件地址哈希隨後被破解並與姓名和用戶名一起分發。「它聲稱這些電子郵件地址中有 72% 已經使用該服務記錄。
該推文引用了 2020 年 10 月的 BleepingComputer 文章,標題為「在線頭像服務 Gravatar 允許大量收集用戶信息,」這解釋了最初是如何獲得哈希值的。 在義大利安全研究員 Carlo Di Dato 無法從 Gravatar 得到答案後,他向該出版物展示了如何通過使用與每個配置文件關聯的數字 ID 來獲取用戶數據來訪問用戶數據。 然後,他編寫了一個測試腳本,依次訪問從 ID 1 到 5000 的個人資料 URL,並說他能夠毫無問題地收集前 5000 個 Gravatar 用戶的 JSON 數據。
許多 Gravatar 用戶對今天早上來自 Firefox Monitor 和 Have I Being Pwned 的通知感到震驚和不安,稱他們的信息出現在新的數據泄露中。
BleepingComputer 的文章在今天 Have I Being Pwned 披露後獲得了更多關注,促使 Gravatar 在推特上回復:
Gravatar 使用經過身份驗證的個人資料幫助您在線建立身份。 我們知道網上有人聲稱 Gravatar 被黑了,所以我們想澄清錯誤信息。
Gravatar 沒有被黑。 我們的服務讓您可以控制要在線共享的數據。 您選擇公開共享的數據通過我們的 API 提供。 用戶可以選擇分享他們的全名、顯示名稱、位置、電子郵件地址和簡短的傳記。
去年,一名安全研究人員通過濫用我們的 API 抓取了公共 Gravatar 數據——用於引用用戶頭像的電子郵件地址的用戶名和 MD5 哈希值。 我們立即修補了集體收集公共資料數據的能力。 如果您想詳細了解 Gravatar 的工作原理或調整您個人資料中共享的數據,請訪問 Gravatar.com.
Gravatar 不認為該事件是數據泄露,這就是為什麼該服務沒有披露 2020 年響應安全研究人員所做的更改。
Automattic 擁有的服務用於 WordPress 網站、GitHub、Stackoverflow 和其他在線位置。 安全研究人員和隱私倡導者多年來一直警告 Gravatar 的隱私攻擊。 許多人已經證明了用戶信息是多麼容易獲得,以及抓取它是多麼容易。
2013 年 7 月,Dominique Bongard 在拉斯維加斯的 Passwordscon 上談到 去匿名化法國政治論壇的成員. 他解釋了如何編寫自定義爬蟲來為論壇用戶獲取 MD5 哈希值,並證明使用自定義破解軟體的攻擊能夠恢復 70% 的 Gravatar 用戶的電子郵件地址。
Bogard 指出,在論壇用戶沒有言論自由的憲法權利或參與者可能會受到騷擾或攻擊的地方,取消政治論壇成員的匿名可能特別危險。
文字圍欄 發布了諮詢 關於 2016 年的 Gravatar,它引用了 Bongard 的研究,以及 2009 年的早期工作,研究人員證明他可以 反向工程 ~10% 的 Gravatar 哈希到電子郵件地址.
Wordfence 創始人兼首席執行官 Mark Maunder 解釋了如何使用電子郵件地址哈希會導致人們使用谷歌搜索提取的哈希來查找個人正在使用的其他網站和服務。
「例如:用戶可能會很樂意讓他們的全名和個人資料照片出現在有關滑雪的網站上,」Maunder 說。 「但他們可能不希望自己的姓名或身份在專門研究醫療狀況的網站上向公眾公開。 研究此人的人可以從滑雪網站中提取他們的 Gravatar 哈希以及他們的全名。 然後他們可以谷歌哈希並確定該人患有他們想要保密的醫療狀況。」
許多 Gravatar 用戶對該服務的解釋不滿意,即用戶輸入的所有信息都是公開的,這使該事件沒有資格被標記為違規。 然而,在同樣的解釋中,該服務聲稱 API 被濫用,而不是承認它易受攻擊並且本可以得到更好的保護。
經過多年的研究人員證明這是可能的,抓取 Gravatar 是否是一種不道德的數據採集,因為抓取工具正在濫用服務的架構? 或者,Gravatar 多年來使大量收集個人資料數據成為可能是不道德的?
聽起來您的數據是以您不希望的方式訪問的(如果只有一個詞的話),但您不是故意的?
— 克里斯托弗·福斯特 (@CF99) 2021 年 12 月 6 日
推特用戶@RegGBlinker 對此事發表評論說:「如果有人能夠將 API 用於其預期目的以外的用途,並且可以收集通過『標準』手段無法獲得的信息……那就是違規行為。」
Gravatar 無疑希望將今天早上向其用戶發送的違規通知所造成的損害降到最低,但將其作為語義問題並不能令人放心。 大多數用戶不打算將他們的 Gravatar 電子郵件分享給任何有動機抓取為收集而暴露的數據的人。 即使這些數據是通過「濫用」他們的 API 轉儲的,對於那些期望用戶數據無法在其他地方分發的人來說,這感覺就像是一種違規。
該事件提醒我們,正如 Gravatar 今天強調的那樣,用戶選擇公開共享的數據是通過服務的 API 提供的,而不是私有的。 作為用戶,享受不必在各種網站上多次上傳您的個人資料照片的便利是有風險的。 希望其網站提供更具隱私意識的選項的發布商應該尋找替代方案,例如 本地頭像 或者 像素頭像.
像這樣:
喜歡載入…