在 “Have I Been Pwned”服务通知用户出现漏洞后，Gravatar称其没有被黑客攻击

在数据泄露检查服务 "Have I Been Pwned "在推特上发布 "新的取消数据"后，Gravatar今天正在回答问题。去年10月，Gravatar有1.67亿份资料通过一个枚举载体被刮走。114M的MD5电子邮件地址哈希值随后被破解，并与姓名和用户名一起分发。它声称这些电子邮件地址中有72%已经被记录在该服务中。

该推文引用了BleepingComputer在2020年10月发表的一篇题为 "在线头像服务Gravatar允许大规模收集用户信息"的文章，其中解释了最初是如何获得这些哈希值的。在意大利安全研究员Carlo Di Dato无法从Gravatar得到答案后，他向该出版物展示了如何通过使用与每个配置文件相关的数字ID来获取用户数据。然后他写了一个测试脚本，按顺序访问ID为1至5000的个人资料URL，并说他能够收集前5000名Gravatar用户的JSON数据，没有任何问题。

许多Gravatar用户今天早上收到Firefox Monitor和Have I Been Pwned的通知，称他们的信息出现在一个新的数据泄露事件中，让他们感到惊愕和不安。

BleepingComputer的文章在今天Have I Been Pwned的披露后获得了更多的关注，刺激了Gravatar在Twitter上的回应。

Gravatar通过一个经过认证的个人资料帮助你在网上建立身份。我们知道网上有一些对话，声称Gravatar被黑了，所以我们想澄清这些错误信息。

Gravatar没有被黑。我们的服务让你控制你想在线分享的数据。你选择公开分享的数据是通过我们的API提供的。用户可以选择分享他们的全名、显示名称、位置、电子邮件地址和简短的传记。

去年，一名安全研究人员通过滥用我们的API刮取了公开的Gravatar数据--用户名和用于引用用户头像的电子邮件地址的MD5哈希值。我们立即修补了大量收集公共资料数据的能力。如果你想了解更多关于Gravatar的工作原理或调整你的个人资料上共享的数据，请访问Gravatar.com。

Gravatar不认为这一事件是数据泄露，这就是为什么该服务没有披露在2020年为应对安全研究员而做出的改变。

Automattic拥有的这项服务被用于WordPress网站、GitHub、Stackoverflow和其他在线场所。安全研究人员和隐私倡导者多年来一直对Gravatar的隐私攻击提出警告。许多人已经证明了用户信息是多么容易获得，而且很容易被盗取。

2013年7月，Dominique Bongard在拉斯维加斯的Passwordscon上发表了关于法国政治论坛成员去匿名化的演讲。他解释了如何编写一个自定义爬虫来获取论坛用户的MD5哈希值，并展示了使用自定义破解软件的攻击能够恢复70%的Gravatar用户的电子邮件地址。

Bogard指出，在论坛用户没有宪法规定的言论自由权，或者参与者可能会受到骚扰或攻击的地方，对政治论坛的成员进行去匿名化处理可能特别危险。

Wordfence在2016年发布了一份关于Gravatar的公告，其中提到了Bongard的研究，以及2009年完成的早期工作，其中一名研究人员证明他可以将~10%的Gravatar哈希值反向工程为电子邮件地址。

Wordfence创始人兼首席执行官Mark Maunder解释说，使用电子邮件地址散列值会导致人们在谷歌上搜索提取的散列值，以找到个人使用的其他网站和服务。

"比如说。一个用户可能愿意让他们的全名和个人资料照片出现在一个关于滑雪的网站上，"Maunder说。"但他们可能不希望自己的名字或身份在一个专门研究医疗状况的网站上暴露给公众。研究这个人的人可以从滑雪网站上提取他们的Gravatar哈希值，以及他们的全名。然后他们可以用谷歌搜索这个哈希值，并确定这个人患有他们想保密的疾病。"

许多Gravatar用户对该服务的解释并不满意，即用户输入的所有信息都是公开的，这使该事件不被称为违规事件。然而，在同一解释中，该服务声称API被滥用，而不是承认它是脆弱的，可以得到更好的保护。

在研究人员多年证明这是可能的之后，刮取Gravatar是一种不道德的数据获取，因为刮削者滥用了该服务的架构？还是因为Gravatar使多年来大规模收集个人资料数据成为可能而不道德？

"推特用户@RegGBlinker就此事评论说："如果有人能够将API用于其预期目的之外，并且能够收集到否则就无法通过'标准'手段获得的信息……这就是违规行为。

毋庸置疑，Gravatar希望将今早向其用户发出的违规通知所造成的损失降到最低，但将此作为一个语义问题并不能让人放心。大多数用户并不打算将他们的Gravatar电子邮件分享给那些有动机搜刮被曝光的数据的人。即使这些数据是通过 "滥用 "他们的API而被倾倒的，对于那些期望用户数据不会被传播到其他地方的人来说，这也感觉是一个漏洞。

这一事件提醒我们，正如Gravatar今天所强调的，用户选择公开分享的数据是由该服务的API提供的，并不属于隐私。作为一个用户，享受不必在不同网站上多次上传个人照片的便利是有风险的。希望他们的网站提供更多隐私意识的选择的出版商，应该寻找像Local Gravatars或Pixel Avatars这样的替代品。