Gravatar — это онлайн-сервис аватаров, который позволяет пользователям устанавливать изображение профиля на нескольких веб-сайтах, поддерживающих данный сервис. Gravatar используется на веб-сайтах WordPress, интегрированных с сервисом и GitHub. Методика подсчета пользователей, открытая исследователем безопасности Карло Ди Дато, демонстрирует, как можно использовать Gravatar для массового сбора данных о его профилях веб-сканерами и ботами.
Хотя данные, предоставленные пользователями Gravatar в их профилях, уже являются общедоступными, данная методика вызывает опасения из-за скорости ее работы.
В демонстрации используется профиль «beau», который принадлежит Бо Лебенсу, руководителю отдела разработки продуктов для WooCommerce в Automattic.
Согласно официальной документации Gravatar, структура URL-адреса ее профиля включает либо имя пользователя, либо хэша MD5 адреса электронной почты, связанного с этим профилем.
Это означает, что к профилю с именем пользователя beau можно получить доступ по адресу https://en.gravatar.com/beau, или перейдя по адресу https://www.gravatar.com/205e460b479e2e5b48aec07710c08d50, который в конечном итоге перенаправит посетителя на общедоступную страницу пользователя.
Однако дополнительный метод доступа к пользовательским данным, не раскрытый в документации Gravatar, включает простое использование числового идентификатора, связанного с каждым профилем, для создания выборки данных.
Так, нажатие на ссылку «JSON» на странице beau приводит к тому, что http://en.gravatar.com/beau.json возвращает JSON-представление данных профиля. Именно поле «id» в JSON blob привлекло внимание Ди Дато.
Скрытый маршрут API в сервисе позволяет любому получить данные JSON пользователя, просто используя поле «id» профиля.
Исследователь перешел на http://en.gravatar.com/ID.json, и получил искомые данные.
Написав простой тестовый сценарий, который последовательно посещает URL-адреса профилей с идентификаторами от 1 до 5000 (как показано ниже), Ди Дато смог без проблем собрать данные JSON первых 5000 пользователей Gravatar.
...
«Если вы посмотрите на файл JSON, вы найдете много интересной информации. Опасность такого рода проблем заключается в том, что злоумышленник может загрузить огромный объем данных и выполнить любую атаку методом социальной инженерии против пользователей», — сказал Ди Дато.
В тестах BleepingComputer выяснилось, что в некоторых профилях пользователей было больше общедоступных данных, чем в других, например, адреса биткоин-кошельков, номера телефонов, местоположения и т. д.
По информации Have I Been Pwned, 167 млн имен и MD5-хэшей адресов электронной почты, используемых в Gravatar, уже извлечены и распространены среди хакерского сообщества. 114 млн хэшей MD5 были взломаны вместе с исходным хэшем, таким образом раскрывая исходный адрес электронной почты и сопутствующие данные.
Пользователи на Reddit уже жалуются на то, что их уведомили о взломе электронной почты. При попытке проверить связанный профиль Gravatar сервис сообщает, что пользователь не найден. Таким образом, удалить свой профиль не получается. Некоторым удалось сделать это, только войдя в систему со своими данными с WordPress. Пользователи рекомендуют удалить учетную запись WordPress.com.
