0
0
Uma técnica de enumeração do usuário descoberta pelo pesquisador de segurança Carlo Di Dato demonstra como gravatar pode ser abusado para coleta em massa de dados de seus perfis por web crawlers e bots.
Gravatar é um serviço de avatar online que permite que os usuários definam e usem uma foto de perfil (avatar) em vários sites que suportam Gravatar.
Os casos de uso mais reconhecíveis de Gravatar são talvez sites wordpress integrados com o serviço e GitHub.
Embora os dados fornecidos pelos usuários da Gravatar em seus perfis já seja público, o aspecto fácil de enumeração do usuário do serviço com praticamente nenhuma limitação de taxa suscita preocupações com relação à coleta em massa de dados do usuário.
Como acessar um perfil gravatar (oficialmente)
Em nossa demonstração deste bug, usaremos o perfil “beau” que é mencionado nos documentos de Gravatar. Este perfil pertence a Beau Lebens, Chefe de Engenharia de Produtos da WooCommerce na Automattic.
De acordo com a documentaçãooficial de Gravatar, a estrutura de URL de um perfil gravatar consiste em um nome de usuário ou um hash MD5 do endereço de e-mail associado a esse perfil.
Isso significa que um perfil com um nome de usuário “beau” pode ser acessado em https://en.gravatar.com/beau ou navegando para https://www.gravatar.com/205e460b479e2e5b48aec07710c08d50 que, em última análise, redirecionará um visitante para a página pública do usuário Gravatar.
Isso não é problema: em nenhum desses casos, o nome de usuário gravatar de Beau ou parâmetros MD5 não poderia ser facilmente previsto por um visitante e tinha que ser conhecido de antemão.
No entanto, um método adicional de acesso aos dados do usuário não divulgados nos documentos inclui simplesmente usar um ID numérico associado a cada perfil para buscar dados.
A rota oculta de URL permite a enumeração do usuário
O pesquisador de segurança italiano Carlo Di Dato ao descobrir essa possibilidade procurou o BleepingComputer esta semana depois de não conseguir uma ação concreta da Gravatar.
Como pode ser observado no perfil de exemplo de Beau acima, clicando no link “JSON” na página, leva a http://en.gravatar.com/beau.json retornar a representação JSON dos dados do perfil.
O “id” de campo na bolha JSON imediatamente chamou a atenção de Di Dato.
Uma rota oculta de API no serviço permite que qualquer pessoa obtenha os dados JSON do usuário simplesmente usando o campo “id” do perfil.
“Eu vi um campo interessante chamado ‘id’ (é um valor inteiro). O próximo passo foi testar se meu perfil estava acessível usando o ‘id'”, disse o pesquisador ao BleepingComputer.
“Então eu naveguei até http://en.gravatar.com/ID.json e funcionou. Agora que eu sei que posso acessar [os dados JSON do usuário] usando um valor inteiro, o próximo passo lógico foi verificar se posso realizar uma enumeração do usuário”, continuou.
Ao escrever um simples script de teste que visita sequencialmente URLs de perfil de IDs 1 a 5000 (como mostrado abaixo), Di Dato foi capaz de coletar dados JSON dos primeiros 5000 usuários gravatar sem problemas.
http://en.gravatar.com/1.json
http://en.gravatar.com/2.json http://en.gravatar.com/3.json
http://en.gravatar.com/4.json…
“Se você der uma olhada no arquivo JSON, você encontrará um monte de informações interessantes. O perigo desse tipo de problema é que um usuário mal-intencionado poderia baixar uma enorme quantidade de dados e realizar qualquer tipo de ataque de engenharia social contra usuários legítimos”, disse Di Dato.
Em nossos testes, o BleepingComputer poderia confirmar que certos perfis de usuários tinham mais dados públicos do que os outros, por exemplo, endereços de carteira BitCoin, números de telefone, localização, etc.
Os usuários que criam perfis públicos no Gravatar concordam em disponibilizar esses dados publicamente, portanto, não se trata de um vazamento de dados ou de uma questão de privacidade a esse respeito.
“Claro, o Sr. Stephen sabe que se registrando em Gravatar, seus dados serão acessíveis publicamente. O que tenho quase certeza que ele não sabe, é que consegui recuperar esses dados consultando Gravatar de uma forma que não deveria ser possível”, afirmou Di Dato.
Ele continuou: “Como gravatar afirma em seus guias, eu deveria ter o endereço de e-mail do Sr. Stephen ou seu nome de usuário gravatar para realizar a consulta. Sem essa informação, deveria ter sido quase impossível para mim obter os dados do Sr. Stephen, certo?
Um problema como esse se torna problemático porque qualquer web crawler ou bot pode agora consultar sequencialmente praticamente todo o banco de dados gravatar, e coletar dados de usuários públicos muito facilmente graças a esta técnica pouco conhecida, mas eficaz.
No passado, os criminosos rasparam os dados do perfil do Facebook em massa usando suas APIs e venderam os despejos na dark web para obter lucro.
BleepingComputer enviou um e-mail para Gravatar para comentar, mas ainda não recebemos uma resposta deles.
FONTE: BLEEPING COMPUTER