شرکت هشدار امنیتی HaveIBeenPwned به کاربران اطلاع داد که اطلاعات پروفایل 114 میلیون کاربر Gravatar به صورت آنلاین به بیرون درز کرده است که آنها آن را نقض داده توصیف کردند. گراواتار هک شدن آن را رد می کند.
در اینجا یک اسکرین شات از ایمیلی است که برای کاربران HaveIBeenPwned ارسال شده است که رویداد Gravatar را به عنوان یک نقض داده توصیف می کند:
من از دریافت ایمیل از این پسر متنفرم ? pic.twitter.com/rkZrmzU7hp
– تروی هانت (@troyhunt) 6 دسامبر 2021
آسیب پذیری شمارش گراواتار
اطلاعات کاربر هر شخصی که دارای حساب گراواتار بود برای دانلود با استفاده از نرم افزاری که داده ها را “خراش” می کرد، باز بود.
تبلیغات
ادامه مطلب زیر
اگرچه از نظر فنی این یک نقض نیست، روشی که در آن اطلاعات کاربر توسط Gravatar ذخیره میشد، دستیابی به اطلاعات کاربر را برای شخصی که قصد بدخواهانه داشت آسان میکرد و میتوان از آن به عنوان بخشی از حمله دیگر برای به دست آوردن رمز عبور و دسترسی استفاده کرد.
حساب های Gravatar اطلاعات عمومی هستند. با این حال، حسابهای نمایه کاربر بهطور عمومی بهگونهای فهرست نشدهاند که به راحتی بتوان آن را مرور کرد. معمولاً یک شخص باید اطلاعات حساب کاربری مانند نام کاربری را بداند تا بتواند حساب و تمام اطلاعات در دسترس عموم را پیدا کند.
یک محقق امنیتی در اواخر سال 2020 کشف کرد که اطلاعات حساب کاربری Gravatar به ترتیب عددی ثبت شده است. یک گزارش خبری از آن زمان توضیح میدهد که چگونه محقق امنیتی به یک فایل JSON پیوند داده شده در صفحه نمایه نگاه میکند، شماره شناسهای را نشان میدهد که با شماره عددی اختصاص داده شده به آن کاربر مطابقت دارد.
مشکل آن شماره شناسایی کاربر این است که می توان با آن شماره به نمایه دسترسی پیدا کرد.
تبلیغات
ادامه مطلب زیر
از آنجایی که این شماره به صورت تصادفی تولید نشده است، بلکه به ترتیب عددی ساخته شده است، هر کسی که مایل به دسترسی به همه نامهای کاربری Gravatar باشد میتواند با درخواست و حذف نمایههای کاربر به ترتیب عددی به آن اطلاعات دسترسی داشته باشد.
رویداد Scraping Data
نقض داده زمانی تعریف می شود که یک شخص غیرمجاز به اطلاعاتی که در دسترس عموم نیست دسترسی پیدا می کند.
اطلاعات Gravatar به صورت عمومی در دسترس بود، اما یک فرد خارجی باید نام کاربری کاربر Gravatar را بداند تا بتواند به نمایه کاربر Gravatar دسترسی داشته باشد. علاوه بر این، آدرس ایمیل آن کاربر به صورت رمزگذاری شده ناامن (به نام هش MD5) ذخیره شده است.
هش MD5 ناامن است و به راحتی می تواند رمزگذاری نشود (همچنین به عنوان کرک شناخته می شود). ذخیره آدرس های ایمیل در فرمت MD5 تنها حفاظت امنیتی جزئی را ارائه می کند.
این بدان معناست که هنگامی که یک مهاجم نام کاربری و ایمیل MD5 هش را دانلود کرد، پس از آن یک موضوع ساده برای استخراج آدرس ایمیل کاربر بود.
به گفته محقق امنیتی که در ابتدا آسیبپذیری شمارش نام کاربری را کشف کرد، Gravatar فقط «تقریباً هیچ محدودیت نرخی» نداشت، به این معنی که یک ربات اسکراپر میتواند میلیونها نمایه کاربر را بدون توقف یا به چالش کشیدن برای رفتار مشکوک درخواست کند.
طبق گزارش خبری اکتبر 2020 که در ابتدا این آسیبپذیری را فاش کرد:
“در حالی که داده های ارائه شده توسط کاربران Gravatar در نمایه های آنها در حال حاضر عمومی است، جنبه آسان شمارش کاربر سرویس بدون محدودیت نرخ، نگرانی هایی را در مورد جمع آوری انبوه داده های کاربر ایجاد می کند.”
Gravatar جمع آوری داده های کاربر را به حداقل می رساند
گراواتار بیانیههای عمومی را توییت کرد که تأثیر مجموعه اطلاعات کاربر را به حداقل رساند.
Gravatar به ایجاد هویت آنلاین شما با یک نمایه تأیید شده کمک می کند. ما از مکالمه آنلاینی که ادعا می کند Gravatar هک شده است آگاه هستیم، بنابراین می خواهیم اطلاعات نادرست را پاک کنیم. (1/4)
— Gravatar.com (@gravatar) 6 دسامبر 2021
گراواتار هک نشد. سرویس ما به شما امکان کنترل داده هایی را که می خواهید به صورت آنلاین به اشتراک بگذارید، می دهد. دادههایی که برای اشتراکگذاری عمومی انتخاب میکنید از طریق API ما در دسترس هستند. کاربران می توانند نام کامل، نام نمایشی، مکان، آدرس ایمیل و یک بیوگرافی کوتاه را انتخاب کنند.
(2/4)— Gravatar.com (@gravatar) 6 دسامبر 2021
تبلیغات
ادامه مطلب زیر
سال گذشته، یک محقق امنیتی، دادههای عمومی Gravatar – نامهای کاربری و هشهای MD5 از آدرسهای ایمیلی که برای ارجاع به آواتارهای کاربران با سوء استفاده از API ما استفاده میشد را حذف کرد. ما بلافاصله توانایی جمعآوری انبوه دادههای نمایه عمومی را اصلاح کردیم. (3/4)
— Gravatar.com (@gravatar) 6 دسامبر 2021
در آخرین توییت در سری از Gravatar خوانندگان را تشویق کرد تا نحوه عملکرد Gravatar را بیاموزند:
“اگر می خواهید درباره نحوه عملکرد Gravatar یا تنظیم داده های به اشتراک گذاشته شده در نمایه خود اطلاعات بیشتری کسب کنید، لطفاً از http://Gravatar.com دیدن کنید.”
از قضا، Gravatar با استفاده از HTTP به یک پروتکل ناامن URL پیوند داد. پس از رسیدن به URL، هیچ تغییر مسیری در Gravatar به نسخه ایمن (HTTPS) صفحه وب وجود نداشت، که فقط تلاش آنها برای ایجاد احساس امنیت را تضعیف کرد.
واکنش کاربران توییتر
اعتراض یکی از کاربران توییتر به استفاده از کلمه «رخنهزیرا اطلاعات در دسترس عموم بود.
به نظر من بی انصافی بود @troyhunt آن را به عنوان نقض طبقه بندی کنیم. این خراش دادن صفحه بود، آنها چیزی دریافت نکردند که قبلاً به صورت عمومی در دسترس نبود.
— پیتر موریس #BlackLivesMatterToo (@MrPeterLMorris) 6 دسامبر 2021
تبلیغات
ادامه مطلب زیر
شخص پشت وب سایت HaveIBeenPwned پاسخ داد:
به همین دلیل است که می گوید “داده های خراشیده”. اما شما همچنین می توانید استدلال کنید که “نقض” زمانی مناسب است که داده ها خارج از محدوده مورد نظر ارائه شده به دست آمده و سوء استفاده شود.https://t.co/FwiqpUFSsp
– تروی هانت (@troyhunt) 6 دسامبر 2021
چرا رویداد خراشیدن گراواتار مهم است؟
تروی هانت، شخصی که در وب سایت HaveIBeenPwned قرار دارد، در یک سری توییت توضیح داد که چرا رویداد خراشیدن Gravatar مهم است.
تروی اظهار داشت که داده هایی که کاربران به گراواتار سپرده اند به گونه ای غیرمنتظره استفاده شده است.
اعتماد کاربر Gravatar از بین رفت
استدلال “خب، به هر حال داده های عمومی است” دیدگاهی است که اقلیت دارند. اکثریت قریب به اتفاق مردم دائماً می گویند “انتظار نداشتم از داده هایم به این شکل استفاده شود و من ناراضی هستم که اکنون وجود دارد و در این قالب منتشر می شود”.
– تروی هانت (@troyhunt) 6 دسامبر 2021
در واقع چه کاری می توانید در مورد آن انجام دهید؟ مردم اغلب درخواست می کنند که سرویس آسیب دیده داده های آنها را حذف کند. این بدیهی است که جن را دوباره در بطری قرار نمی دهد، اما زمانی که اعتماد از بین برود اقدامی منطقی است.
– تروی هانت (@troyhunt) 6 دسامبر 2021
کاربران می خواهند اطلاعات گراواتار خود را کنترل کنند
تروی اظهار داشت که کاربران می خواهند از نحوه استفاده و دسترسی به اطلاعات آنها آگاه باشند.
تبلیغات
ادامه مطلب زیر
حداقل این آگاهی است. من میخواهم بدانم – *بیشتر* مردم میخواهند بدانند – چه زمانی اطلاعات شخصی ما در مکانهایی ظاهر میشود که انتظارش را نداشتیم، و این دقیقاً همان چیزی است که @haveibeenpwned میکند.
– تروی هانت (@troyhunt) 6 دسامبر 2021
آیا کاربران Gravatar Pwned شدند؟
می توان استدلال کرد که یک حساب Gravatar می تواند عمومی باشد اما به راحتی به عنوان مرحله اول یک رویداد هک توسط افرادی با اهداف مخرب جمع آوری نمی شود.
Gravatar اظهار داشت که پس از افشای آسیبپذیری حمله شمارش، اقداماتی را برای بستن آن انجام دادند تا از دانلود بیشتر اطلاعات کاربر جلوگیری شود.
بنابراین از یک طرف Gravatar اقداماتی را برای جلوگیری از جمع آوری اطلاعات کاربران توسط افرادی که قصد سوء قصد دارند انجام داد. اما از سوی دیگر آنها گفتند که گزارشهایی مبنی بر هک شدن Gravatar اطلاعات نادرست است.
اما واقعیت این است که HaveIBeenPwned آن را یک رویداد هک نمی نامید، آنها آن را یک رخنه نامیدند.
می توان استدلال کرد که استفاده Gravatar از هش MD5 برای ذخیره داده های ایمیل ناامن بود و لحظه ای که هکرها رمزگذاری ناامن را شکستند، خراش غیرعادی “اطلاعات عمومی” به یک رخنه تبدیل شد.
تبلیغات
ادامه مطلب زیر
بسیاری از کاربران Gravatar چندان خوشحال نیستند و به دنبال پاسخ هستند:
آیا این اطلاعات را در سایت خود منتشر خواهید کرد؟
افرادی که اخطار Gravatr را از Have I been Pwned دریافت کرده اند برای آخرین اطلاعات از سایت شما بازدید خواهند کرد.
من بررسی کردم، چیزی در سایت شما وجود ندارد.
کاربران Gravatar نباید مجبور شوند برای پاسخ با پشتیبانی تماس بگیرند.
– دبورا ادواردز اونورو (@redcrew) 6 دسامبر 2021