“نقض” Gravatar اطلاعات بیش از 100 میلیون کاربر را افشا می کند

شرکت هشدار امنیتی HaveIBeenPwned به کاربران اطلاع داد که اطلاعات پروفایل 114 میلیون کاربر Gravatar به صورت آنلاین به بیرون درز کرده است که آنها آن را نقض داده توصیف کردند. گراواتار هک شدن آن را رد می کند.

در اینجا یک اسکرین شات از ایمیلی است که برای کاربران HaveIBeenPwned ارسال شده است که رویداد Gravatar را به عنوان یک نقض داده توصیف می کند:

نقض گراواتار

آسیب پذیری شمارش گراواتار

اطلاعات کاربر هر شخصی که دارای حساب گراواتار بود برای دانلود با استفاده از نرم افزاری که داده ها را “خراش” می کرد، باز بود.

تبلیغات

ادامه مطلب زیر

اگرچه از نظر فنی این یک نقض نیست، روشی که در آن اطلاعات کاربر توسط Gravatar ذخیره می‌شد، دستیابی به اطلاعات کاربر را برای شخصی که قصد بدخواهانه داشت آسان می‌کرد و می‌توان از آن به عنوان بخشی از حمله دیگر برای به دست آوردن رمز عبور و دسترسی استفاده کرد.

حساب های Gravatar اطلاعات عمومی هستند. با این حال، حساب‌های نمایه کاربر به‌طور عمومی به‌گونه‌ای فهرست نشده‌اند که به راحتی بتوان آن را مرور کرد. معمولاً یک شخص باید اطلاعات حساب کاربری مانند نام کاربری را بداند تا بتواند حساب و تمام اطلاعات در دسترس عموم را پیدا کند.

یک محقق امنیتی در اواخر سال 2020 کشف کرد که اطلاعات حساب کاربری Gravatar به ترتیب عددی ثبت شده است. یک گزارش خبری از آن زمان توضیح می‌دهد که چگونه محقق امنیتی به یک فایل JSON پیوند داده شده در صفحه نمایه نگاه می‌کند، شماره شناسه‌ای را نشان می‌دهد که با شماره عددی اختصاص داده شده به آن کاربر مطابقت دارد.

مشکل آن شماره شناسایی کاربر این است که می توان با آن شماره به نمایه دسترسی پیدا کرد.

تبلیغات

ادامه مطلب زیر

از آنجایی که این شماره به صورت تصادفی تولید نشده است، بلکه به ترتیب عددی ساخته شده است، هر کسی که مایل به دسترسی به همه نام‌های کاربری Gravatar باشد می‌تواند با درخواست و حذف نمایه‌های کاربر به ترتیب عددی به آن اطلاعات دسترسی داشته باشد.

رویداد Scraping Data

نقض داده زمانی تعریف می شود که یک شخص غیرمجاز به اطلاعاتی که در دسترس عموم نیست دسترسی پیدا می کند.

اطلاعات Gravatar به صورت عمومی در دسترس بود، اما یک فرد خارجی باید نام کاربری کاربر Gravatar را بداند تا بتواند به نمایه کاربر Gravatar دسترسی داشته باشد. علاوه بر این، آدرس ایمیل آن کاربر به صورت رمزگذاری شده ناامن (به نام هش MD5) ذخیره شده است.

هش MD5 ناامن است و به راحتی می تواند رمزگذاری نشود (همچنین به عنوان کرک شناخته می شود). ذخیره آدرس های ایمیل در فرمت MD5 تنها حفاظت امنیتی جزئی را ارائه می کند.

این بدان معناست که هنگامی که یک مهاجم نام کاربری و ایمیل MD5 هش را دانلود کرد، پس از آن یک موضوع ساده برای استخراج آدرس ایمیل کاربر بود.

به گفته محقق امنیتی که در ابتدا آسیب‌پذیری شمارش نام کاربری را کشف کرد، Gravatar فقط «تقریباً هیچ محدودیت نرخی» نداشت، به این معنی که یک ربات اسکراپر می‌تواند میلیون‌ها نمایه کاربر را بدون توقف یا به چالش کشیدن برای رفتار مشکوک درخواست کند.

طبق گزارش خبری اکتبر 2020 که در ابتدا این آسیب‌پذیری را فاش کرد:

“در حالی که داده های ارائه شده توسط کاربران Gravatar در نمایه های آنها در حال حاضر عمومی است، جنبه آسان شمارش کاربر سرویس بدون محدودیت نرخ، نگرانی هایی را در مورد جمع آوری انبوه داده های کاربر ایجاد می کند.”

Gravatar جمع آوری داده های کاربر را به حداقل می رساند

گراواتار بیانیه‌های عمومی را توییت کرد که تأثیر مجموعه اطلاعات کاربر را به حداقل رساند.

تبلیغات

ادامه مطلب زیر

در آخرین توییت در سری از Gravatar خوانندگان را تشویق کرد تا نحوه عملکرد Gravatar را بیاموزند:

“اگر می خواهید درباره نحوه عملکرد Gravatar یا تنظیم داده های به اشتراک گذاشته شده در نمایه خود اطلاعات بیشتری کسب کنید، لطفاً از http://Gravatar.com دیدن کنید.”

از قضا، Gravatar با استفاده از HTTP به یک پروتکل ناامن URL پیوند داد. پس از رسیدن به URL، هیچ تغییر مسیری در Gravatar به نسخه ایمن (HTTPS) صفحه وب وجود نداشت، که فقط تلاش آنها برای ایجاد احساس امنیت را تضعیف کرد.

واکنش کاربران توییتر

اعتراض یکی از کاربران توییتر به استفاده از کلمه «رخنهزیرا اطلاعات در دسترس عموم بود.

تبلیغات

ادامه مطلب زیر

شخص پشت وب سایت HaveIBeenPwned پاسخ داد:

چرا رویداد خراشیدن گراواتار مهم است؟

تروی هانت، شخصی که در وب سایت HaveIBeenPwned قرار دارد، در یک سری توییت توضیح داد که چرا رویداد خراشیدن Gravatar مهم است.

تروی اظهار داشت که داده هایی که کاربران به گراواتار سپرده اند به گونه ای غیرمنتظره استفاده شده است.

اعتماد کاربر Gravatar از بین رفت

کاربران می خواهند اطلاعات گراواتار خود را کنترل کنند

تروی اظهار داشت که کاربران می خواهند از نحوه استفاده و دسترسی به اطلاعات آنها آگاه باشند.

تبلیغات

ادامه مطلب زیر

آیا کاربران Gravatar Pwned شدند؟

می توان استدلال کرد که یک حساب Gravatar می تواند عمومی باشد اما به راحتی به عنوان مرحله اول یک رویداد هک توسط افرادی با اهداف مخرب جمع آوری نمی شود.

Gravatar اظهار داشت که پس از افشای آسیب‌پذیری حمله شمارش، اقداماتی را برای بستن آن انجام دادند تا از دانلود بیشتر اطلاعات کاربر جلوگیری شود.

بنابراین از یک طرف Gravatar اقداماتی را برای جلوگیری از جمع آوری اطلاعات کاربران توسط افرادی که قصد سوء قصد دارند انجام داد. اما از سوی دیگر آنها گفتند که گزارش‌هایی مبنی بر هک شدن Gravatar اطلاعات نادرست است.

اما واقعیت این است که HaveIBeenPwned آن را یک رویداد هک نمی نامید، آنها آن را یک رخنه نامیدند.

می توان استدلال کرد که استفاده Gravatar از هش MD5 برای ذخیره داده های ایمیل ناامن بود و لحظه ای که هکرها رمزگذاری ناامن را شکستند، خراش غیرعادی “اطلاعات عمومی” به یک رخنه تبدیل شد.

تبلیغات

ادامه مطلب زیر

بسیاری از کاربران Gravatar چندان خوشحال نیستند و به دنبال پاسخ هستند: