Il servizio più noto e conosciuto al mondo per la creazione degli avatar da associare agli account online, Gravatar, è al centro di una nuova segnalazione diramata da Have I Been Pwned, portale che avvisa gli utenti quando i loro dati sono oggetto di un leak o di una violazione. Sono in totale 167 milioni i profili interessati.
Gravatar precisa che non è stato un attacco
Quanto emerso è riconducibile allo scraping ovvero alla raccolta massiva di informazioni relative a coloro iscritti a una piattaforma, come accaduto quest’anno anche a LinkedIn e Clubhouse. L’azione è stata eseguita nell’ottobre 2020, attraverso la tecnica scoperta dal ricercatore italiano Carlo Di Dato e allora descritta su queste pagine.
New scraped data: Gravatar had 167M profiles scraped in Oct last year via an enumeration vector. 114M of the MD5 email address hashes were subsequently cracked and distributed alongside names and usernames. 72% were already in @haveibeenpwned. Read more: https://t.co/gLN3jDx1Wf
— Have I Been Pwned (@haveibeenpwned) December 5, 2021
I vertici della piattaforma sono ben presto intervenuti per sottolineare come non si sia trattato di un attacco, attraverso un thread condiviso su Twitter di cui riportiamo di seguito un estratto in forma tradotta.
Gravatar non è stato violato, il nostro servizio vi offre il controllo sulle informazioni che desiderate condividere online, quelle per le quali fornite l’autorizzazione sono rese pubbliche attraverso la nostra API, come nome completo, nickname, località, indirizzo email e una breve biografia.
Gravatar helps establish your identity online with an authenticated profile. We’re aware of the conversation online that claims Gravatar was hacked, so we want to clear up the misinformation. (1/4)
— Gravatar.com (@gravatar) December 6, 2021
In breve, secondo la società, ad essere stati raccolti e distribuiti sono dati pubblici che gli stessi utenti hanno scelto in modo libero e volontario di condividere, non informazioni riservate. Tutto vero, ma anche questi, nelle mani sbagliate, potrebbero essere impiegati con finalità non esattamente benevole.
Una spiegazione che convince poco anche il ricercatore Troy Hunt (tra le altre cose fondatore di Have I Been Pwned), che sottolinea come, pur non essendosi trattato di un attacco, sarebbe stato corretto rendere noto l’accaduto agli utenti in modo tempestivo, prima che lo scoprissero da altre fonti. Un punto di vista certamente condivisibile.
My data is in the Gravatar scrap (and it was in the LinkedIn scrape) and I agree. It's not massive in the scheme of things, but it's still frustrating and I want to know about it.
— Troy Hunt (@troyhunt) December 6, 2021
Il servizio di Gravatar è stato acquisito nel 2007 da Automattic che l’ha integrato in WordPress.
Ti potrebbe interessare
6 dic 2021