Serviço de avatar online Gravatar permite coleta em massa de informações do usuário

Gravatar é um serviço de avatar online que permite aos usuários definir e usar uma imagem de perfil (avatar) em vários sites que oferecem suporte ao Gravatar.

Os casos de uso mais reconhecíveis do Gravatar são talvez sites WordPress integrados com o serviço e GitHub.

Embora os dados fornecidos pelos usuários do Gravatar em seus perfis já sejam públicos, o aspecto de enumeração fácil do usuário do serviço, praticamente sem limitação de taxa, levanta preocupações com relação à coleta em massa de dados do usuário.

Como acessar um perfil do Gravatar (oficialmente)

Em nossa demonstração deste bug, usaremos o perfil “beau” que é mencionado na documentação do Gravatar. Este perfil pertence a Beau Lebens, chefe de engenharia de produto da WooCommerce da Automattic.https://www.ad-sandbox.com/static/html/sandbox.html

De acordo com a documentação oficial do Gravatar , a estrutura de URL de um perfil do Gravatar consiste em um nome de usuário ou um hash MD5 do endereço de e-mail associado a esse perfil.

Isso significa que um perfil com um nome de usuário “beau” pode ser acessado em https://en.gravatar.com/beau  ou navegando para  https://www.gravatar.com/205e460b479e2e5b48aec07710c08d50  que, em última análise, redirecionará um visitante para o público do usuário Página do Gravatar.

Isso não é problema: em qualquer um desses casos, o nome de usuário Gravatar de Beau ou os parâmetros MD5 não podiam ser facilmente previstos por um visitante e tinham que ser conhecidos de antemão.

No entanto, um método adicional de acesso aos dados do usuário não divulgado nos documentos inclui simplesmente o uso de um ID numérico associado a cada perfil para buscar dados.

A rota de URL oculta permite a enumeração do usuário

O pesquisador de segurança italiano, Carlo Di Dato, ao descobrir essa possibilidade, entrou em contato com a BleepingComputer esta semana, depois de não conseguir obter uma ação concreta do Gravatar.

Como pode ser observado no perfil de exemplo de Beau acima, clicar no link ” JSON ” na página leva a  http://en.gravatar.com/beau.json  retornar uma representação JSON dos dados do perfil.

O campo “id” no blob JSON chamou imediatamente a atenção de Di Dato. 

Uma rota de API oculta no serviço permite que qualquer pessoa obtenha os dados JSON do usuário simplesmente usando o campo “id” do perfil.

“Eu localizei um campo interessante chamado ‘id’ (é um valor inteiro). A próxima etapa foi testar se meu perfil estava acessível usando o ‘id’”, disse o pesquisador ao BleepingComputer.

“Então, naveguei até http://en.gravatar.com/ ID .json e funcionou. Agora que sei que posso acessar [os dados JSON do usuário] usando um valor inteiro, a próxima etapa lógica é verificar se posso realizar uma enumeração de usuário “, continuou ele.

Ao escrever um script de teste simples que visita sequencialmente URLs de perfil de IDs 1 a 5000 (como mostrado abaixo), Di Dato foi capaz de coletar dados JSON dos primeiros 5000 usuários do Gravatar sem problemas.

http://en.gravatar.com/1.json
http://en.gravatar.com/2.json
http://en.gravatar.com/3.json
http://en.gravatar.com/4 .json
…

“Se você der uma olhada no arquivo JSON, encontrará muitas informações interessantes. O perigo desse tipo de problema é que um usuário mal-intencionado pode baixar uma grande quantidade de dados e realizar qualquer tipo de ataque de engenharia social contra usuários legítimos “, disse Di Dato.

Em nossos testes, o BleepingComputer pôde confirmar que certos perfis de usuário tinham  mais  dados públicos do que outros, por exemplo, endereços de carteira BitCoin, números de telefone, localização, etc.

Os usuários que criam perfis públicos no Gravatar consentem em tornar esses dados publicamente disponíveis, portanto, isso não é um vazamento de dados ou um problema de privacidade a esse respeito.

“Claro, o Sr. Stephen sabe que, ao se registrar no Gravatar, seus dados estarão acessíveis ao público. O que tenho quase certeza de que ele não sabe, é que consegui recuperar esses dados consultando o Gravatar de uma forma que não deveria ser possível “, afirmou Di Dato.

Ele continuou, “Como o Gravatar afirma em seus guias, eu deveria ter o endereço de e-mail do Sr. Stephen ou seu nome de usuário no Gravatar para realizar a consulta. Sem essas informações, seria quase impossível para mim obter os dados do Sr. Stephen, certo? ” 

Um problema como esse se torna problemático porque qualquer rastreador da web ou bot agora pode consultar sequencialmente todo o banco de dados do Gravatar e coletar dados públicos do usuário com muita facilidade, graças a essa técnica pouco conhecida, mas eficaz. 

No passado, os criminosos coletavam dados de perfil do Facebook em massa usando suas APIs e vendiam os lixos na dark web para obter lucro.

O BleepingComputer enviou um e-mail ao Gravatar para comentar, mas ainda não recebemos uma resposta deles.

Fonte: https://www.bleepingcomputer.com/news/security/online-avatar-service-gravatar-allows-mass-collection-of-user-info