Uma técnica de enumeração de usuários descoberta pelo pesquisador de segurança Carlo Di Dato demonstra como o Gravatar pode ser abusado por rastreadores da Web e bots para coleta em massa de dados de perfil.
Gravatar é um serviço de avatar online que permite aos usuários definir e usar uma foto de perfil (avatar) em vários sites que suportam Gravatar.
Os casos de uso mais reconhecidos do Gravatar são talvez os sites WordPress integrados ao serviço e ao GitHub.
Embora os dados fornecidos pelos usuários do Gravatar em seus perfis já sejam públicos, o aspecto fácil de enumerar dos usuários do serviço com praticamente nenhum limite de velocidade levanta preocupações quanto à coleta em massa de dados de usuários.
índice
- Como acessar um perfil do Gravatar (oficialmente)
- O caminho de URL oculto permite que os usuários sejam listados
Como acessar um perfil do Gravatar (oficialmente)
Em nossa demonstração deste bug, usaremos o perfil "beau" mencionado na documentação do Gravatar. Este perfil pertence a Beau Lebens, Lead Product Engineer para WooCommerce na Automattic.
De acordo com a documentação oficial do Gravatar, a estrutura de URL de um perfil do Gravatar consiste em um nome de usuário ou hash MD5 do endereço de e-mail associado a esse perfil.
Isso significa que você pode fazer login em um perfil com o nome de usuário "beau". https://en.gravatar.com/beau ou navegando para https://www.gravatar.com/205e460b479e2e5b48aec07710c08d50 que eventualmente redirecionará um visitante para a página pública do Gravatar do usuário.
Isso não é um problema; de qualquer forma, o nome de usuário do Gravatar de Beau ou os parâmetros MD5 não podiam ser facilmente previstos por um visitante e precisavam ser conhecidos com antecedência.
No entanto, um método adicional de acesso a dados de usuários não divulgados em documentos envolve simplesmente o uso de um ID numérico associado a cada perfil para recuperar os dados.
O caminho de URL oculto permite que os usuários sejam listados
O pesquisador de segurança italiano Carlo Di Dato, depois de descobrir essa possibilidade, entrou em contato com a BleepingComputer esta semana depois de não conseguir uma ação concreta do Gravatar.
Como você pode ver no perfil de exemplo de Beau acima, clicar no link " JSON " na página leva a http://en.gravatar.com/beau.json retornando a representação JSON dos dados do perfil.
Dados JSON retornados para o perfil Gravatar do usuário, "beau"
Fonte: BleepingComputer
O campo "id" no blob JSON imediatamente chamou a atenção de Di Dato.
Uma rota de API oculta no serviço permite que qualquer pessoa obtenha os dados JSON do usuário simplesmente usando o campo "id" do perfil.
"Encontrei um campo interessante chamado 'id' (é um número inteiro). O próximo passo foi verificar se meu perfil estava acessível usando 'id'", disse o pesquisador ao BleepingComputer.
"Então eu procurei por http://en.gravatar.com/ID.json e funcionou. Agora que eu sei que posso registrar [os dados JSON do usuário] usando um número inteiro, o próximo passo lógico foi verificar se poderia ser feito. uma enumeração de usuários", continuou ele.
Ao escrever um script de teste simples que visita sequencialmente URLs de perfil de IDs 1 a 5000 (como mostrado abaixo), Di Dato conseguiu coletar dados JSON dos primeiros 5000 usuários do Gravatar sem problemas.
http://en.gravatar.com/1.json
http://en.gravatar.com/2.json
http://en.gravatar.com/3.json
http://en.gravatar.com/4.json
…
"Se você der uma olhada no arquivo JSON, encontrará muitas informações interessantes. O perigo desse tipo de problema é que um invasor pode baixar muitos dados e realizar todos os tipos de ataques de engenharia social contra usuários legítimos", ele disse. Diga Dados.
Em nossos testes, o BleepingComputer conseguiu confirmar alguns perfis de usuários com mais dados públicos do que outros, por exemplo, endereços de carteiras BitCoin , números de telefone, localização, etc.
Os usuários que criam perfis públicos no Gravatar concordam em disponibilizar esses dados publicamente, portanto, não se trata de vazamento de dados ou problema de privacidade nesse sentido.
"Claro, o Sr. Stephen sabe que ao se registrar no Gravatar, seus dados estarão acessíveis ao público. O que eu tenho certeza que ele não sabe é que eu consegui recuperar esses dados interrogando o Gravatar de uma maneira que não deveria. não seja possível." Diga Dados.
Continu: "Como dice Gravatar en sus guas, debera tener la direccin de correo electrnico del Sr. Stephen o su nombre de usuario de Gravatar para ejecutar la consulta. Sin esta informacin, hubiera sido casi imposible para m obtener los datos del Sr. Stephen , Muito bem? "
Perfis do Gravatar com informações extensas
Um problema como esse se torna problemático porque qualquer rastreador ou bot da Web agora pode consultar sequencialmente todo o banco de dados do Gravatar e coletar dados públicos do usuário com muita facilidade, graças a essa técnica pouco conhecida, mas eficaz.
No passado, os criminosos extraíam dados de perfil do Facebook em massa usando suas APIs e vendiam despejos na dark web para obter lucro.
A BleepingComputer enviou um e-mail ao Gravatar para comentar, mas ainda não recebemos uma resposta deles.
- Microsoft corrige problemas de conexão com a Internet do Windows 10 em nova atualização
- Grindr corrigiu um bug que permitia controle total de qualquer conta de usuário
descubra mais conteúdo
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Por que a NASA enviou Snoopy para a Lua? – Revisão geek
Deixe uma resposta Cancelar resposta
Gravatar é um serviço que oferece um avatar globalmente único. O serviço foi criado por Tom Werner.
Como o Gravatar é usado?
Como o Gravatar funciona ? É um serviço gratuito para usuários que se registram em seu site. Como usuário, você só precisa se registrar e enviar sua imagem, perfil ou avatar uma vez. Mais tarde, quando você participar de um blog, essa imagem será carregada automaticamente.
O que é um gravatar no WordPress?
Gravatar significa Avatar Reconhecido Globalmente. Cada usuário pode definir seu avatar em http:// gravatar .com/ e ele será exibido ao lado de seus comentários em qualquer site que o suporte. A partir do WordPress 2.5, os Gravatars estão incluídos no WordPress e não precisam de nenhuma outra configuração ou plugin para funcionar.
Como criar uma conta Gravatar?
Crie sua conta Gravatar . Entre é. gravatar .com, localize e clique no botão Criar seu próprio gravatar . Coloque o e-mail que você vai usar associado a esta conta , um nome de usuário e uma senha. Escolha um e-mail que você usa regularmente, pois será o que você usará ao comentar, registrar-se nos aplicativos, etc.