La empresa de alertas de seguridad HaveIBeenPwned notificó a los usuarios que la información del perfil de 114 millones de usuarios de Gravatar se había filtrado en línea en lo que caracterizaron como una violación de datos. Gravatar niega que haya sido pirateado.
Aquí hay una captura de pantalla del correo electrónico que se envió a los usuarios de HaveIBeenPwned que caracterizó el evento Gravatar como una violación de datos:
Odio recibir correos electrónicos de este tipo ? pic.twitter.com/rkZrmzU7hp
– Troy Hunt (@troyhunt) 6 de diciembre de 2021
Vulnerabilidad de enumeración de Gravatar
La información de usuario de cada persona con una cuenta de Gravatar estaba abierta a ser descargada usando un software que «raspa» los datos.
(*100*) publicitario
Continuar leyendo a continuación
Si bien técnicamente eso no es una infracción, la forma en que Gravatar almacenó la información del usuario facilitó que una persona con intenciones malintencionadas obtuviera información del usuario que luego podría usarse como parte de otro ataque para obtener contraseñas y entrada.
Las cuentas de Gravatar son información pública. Sin embargo, las cuentas de perfil de usuario individual no se enumeran públicamente de una manera que se pueda navegar fácilmente. Normalmente, una persona tendría que conocer la información de la cuenta, como el nombre de usuario, para encontrar la cuenta y toda la información disponible públicamente.
Un investigador de seguridad descubrió a fines de 2020 que la información de la cuenta de usuario de Gravatar se registraba en orden numérico. Un informe de noticias de la época describió cómo el investigador de seguridad se asomó a un archivo JSON vinculado en la página de perfil y reveló un número de identificación que correspondía al número numérico asignado a ese usuario.
El problema con ese número de identificación de usuario es que se podría consentir al perfil con ese número.
(*100*) publicitario
Continuar leyendo a continuación
Debido a que el número no se generó al suerte sino en orden numérico, cualquiera que desee consentir a todos los nombres de usuario de Gravatar puede consentir a esa información solicitando y raspando los perfiles de usuario en orden numérico.
Evento de raspado de datos
Una violación de datos se define como cuando una persona no autorizada obtiene entrada a información que no está disponible públicamente.
La información de Gravatar estaba disponible públicamente, pero un extraño tendría que conocer el nombre de usuario del usuario de Gravatar para poder consentir al perfil de usuario de Gravatar. Además, la dirección de correo electrónico de ese usuario se almacenó de una manera encriptada insegura (llamada hash MD5).
Un hash MD5 es inseguro y se puede desencriptar fácilmente (también conocido como crackeado). El almacenamiento de direcciones de correo electrónico en formato MD5 proporcionaba solo una protección de seguridad menor.
Eso significa que una vez que un atacante descargaba los nombres de usuario y el hash MD5 del correo electrónico, era sencillo extraer la dirección de correo electrónico del usuario.
Según el investigador de seguridad que descubrió inicialmente la vulnerabilidad de enumeración de nombre de usuario, Gravatar solo tenía «prácticamente ninguna limitación de velocidad», lo que significa que un bot raspador podría solicitar millones de perfiles de usuario sin ser detenido o desafiado por un comportamiento sospechoso.
De acuerdo con la informe de noticias de octubre de 2020 que originalmente divulgó la vulnerabilidad:
«Si bien los datos proporcionados por los usuarios de Gravatar en sus perfiles ya son públicos, el aspecto de enumeración de usuarios fácil del servicio sin prácticamente limitación de velocidad genera preocupaciones con respecto a la recopilación masiva de datos de usuarios».
Gravatar minimiza la recopilación de datos del usuario
Gravatar tuiteó declaraciones públicas que minimizaron el impacto de la recopilación de información del usuario.
Gravatar ayuda a establecer su identidad en línea con un perfil autenticado. Somos conscientes de la conversación en línea que afirma que Gravatar fue pirateado, por lo que queremos aclarar la información errónea. (1/4)
– Gravatar.com (@gravatar) 6 de diciembre de 2021
Gravatar no fue pirateado. Nuestro servicio le brinda control sobre los datos que desea compartir en línea. Los datos que elige compartir públicamente están disponibles a través de nuestra API. Los usuarios pueden optar por compartir su nombre completo, nombre para mostrar, ubicación, dirección de correo electrónico y una breve biografía.
(2/4)– Gravatar.com (@gravatar) 6 de diciembre de 2021
Anuncio publicitario
Continuar leyendo a continuación
El año pasado, un investigador de seguridad extrajo datos públicos de Gravatar: nombres de usuario y hashes MD5 de direcciones de correo electrónico que se utilizan para hacer referencia a los avatares de los usuarios al abusar de nuestra API. Inmediatamente parcheamos la capacidad de recopilar los datos del perfil público en masa. (3/4)
– Gravatar.com (@gravatar) 6 de diciembre de 2021
los el ultimo tweet en la serie de Gravatar animó a los lectores a aprender cómo funciona Gravatar:
«Si desea obtener más información sobre cómo funciona Gravatar o ajustar los datos compartidos en su perfil, visite http://Gravatar.com».
Irónicamente, Gravatar se vinculó a un protocolo inseguro de la URL, utilizando HTTP. Al llegar a la URL, no hubo redireccionamiento en Gravatar a una versión segura (HTTPS) de la página web, lo que solo socavó sus esfuerzos por proyectar una sensación de seguridad.
Los usuarios de Twitter reaccionan
Un usuario de Twitter se opuso al uso de la palabra «incumplimiento”Porque la información estaba disponible públicamente.
Creo que fue injusto @troyhunt para clasificar eso como una infracción. Fue un raspado de pantalla, no obtuvieron nada que no estuviera disponible públicamente.
– Peter Morris #BlackLivesMatterToo (@MrPeterLMorris) 6 de diciembre de 2021
Anuncio publicitario
Continuar leyendo a continuación
La persona detrás del sitio web HaveIBeenPwned respondió:
Por eso dice «datos extraídos». Pero también podría argumentar que la “violación” es apropiada cuando los datos se obtienen y se usan indebidamente fuera del alcance previsto con el que se proporcionaron.https://t.co/FwiqpUFSsp
– Troy Hunt (@troyhunt) 6 de diciembre de 2021
Por qué es importante el evento de raspado Gravatar
Troy Hunt, la persona detrás del sitio web HaveIBeenPwned, explicó en una serie de tweets por qué el evento de raspado de Gravatar es importante.
Troy afirmó que los datos que los usuarios confiaron a Gravatar se utilizaron de una manera inesperada.
La confianza de los usuarios de Gravatar se erosiona
El argumento de «bueno, de todos modos son datos públicos» es un punto de vista de la minoría. La gran mayoría de la gente dice constantemente: «No esperaba que mis datos se usaran de esta manera y no estoy contento de que ahora estén disponibles y se estén distribuyendo en este formato».
– Troy Hunt (@troyhunt) 6 de diciembre de 2021
¿Qué puedes hacer realmente al respecto? Las personas a menudo solicitan que el servicio afectado elimine sus datos. Eso, obviamente, no vuelve a poner al genio en la botella, pero es una acción razonable una vez que se erosiona la confianza.
– Troy Hunt (@troyhunt) 6 de diciembre de 2021
Los usuarios quieren tener control sobre su información de Gravatar
Troy afirmó que los usuarios quieren estar al tanto de cómo se usa y se accede a su información.
Anuncio publicitario
Continuar leyendo a continuación
Por lo menos, es conciencia. Quiero saber – * la mayoría * de la gente quiere saber – cuando nuestros datos personales aparecen en lugares que no esperábamos, y eso es precisamente lo que @haveibeenpwned lo hace.
– Troy Hunt (@troyhunt) 6 de diciembre de 2021
¿Se despidió a los usuarios de Gravatar?
Se podría argumentar que una cuenta de Gravatar puede ser pública, pero no se puede recolectar fácilmente como el Paso Uno de un evento de piratería por parte de personas con malas intenciones.
Gravatar afirmó que después de que se reveló la vulnerabilidad del ataque de enumeración, tomaron medidas para cerrarla y evitar una mayor descarga de información del usuario.
Entonces, por un lado, Gravatar tomó medidas para evitar que aquellos con intenciones malintencionadas recopilen información del usuario. Pero, por otro lado, dijeron que los informes de piratería de Gravatar son desinformación.
Pero el hecho es que HaveIBeenPwned no lo llamó un evento de piratería, lo llamaron una infracción.
Se podría argumentar que el uso de Gravatar del hash MD5 para almacenar datos de correo electrónico era inseguro y que en el momento en que los piratas informáticos descifraron el cifrado inseguro, el raspado anormal de «información pública» se convirtió en una infracción.
Anuncio publicitario
Continuar leyendo a continuación
Muchos usuarios de Gravatar no están particularmente contentos y buscan respuestas:
¿Publicarás esta información en tu sitio?
Las personas que recibieron el aviso de Gravatr de Have I been Pwned visitarán su sitio para obtener la información más reciente.
Lo comprobé, no hay nada en su sitio.
Los usuarios de Gravatar no deberían verse obligados a ponerse en contacto con el soporte técnico para obtener respuestas.
– Deborah Edwards-Oñoro (@redcrew) 6 de diciembre de 2021
Consultar el artículo en la publicación original