GRAVATAR позволява изтичане на финаносва информация

GRAVATAR позволява изтичане на финаносва информация
gravatar

Техника за изброяване на потребители, открита от изследователя по сигурността Карло Ди Дато, демонстрира как Gravatar може да бъде компрометиран с цел  масово събиране на данни на неговите профили от уеб роботите и ботовете.

Gravatar е онлайн услуга за аватари, която позволява на потребителите да задават и използват снимка на профила (аватар) в множество уебсайтове, които поддържат Gravatar.

Най-разпознаваемите случаи на използване на Gravatar са може би уеб сайтове на WordPress, интегрирани с услугата и GitHub.

Въпреки че данните, предоставени от потребителите на Gravatar в техните профили, вече са публични, аспектът на лесното изброяване на потребителите на услугата, на практика без ограничение на скоростта, поражда опасения по отношение на масовото събиране на потребителски данни.

Как да влезете в профил на Gravatar (официално)

В нашата демонстрация на тази грешка ще използваме профила “beau”, споменат в документите на Gravatar. Този профил принадлежи на Beau Lebens, ръководител на продуктовото инженерство за WooCommerce в Automattic.

Според официалната документация на Gravatar, URL структурата на профил на Gravatar се състои или от потребителско име, или от MD5 хеш на имейл адреса, свързан с този профил.

Това означава, че профил с потребителско име “beau” може да бъде достъпен на https://en.gravatar.com/beau или чрез навигация до https://www.gravatar.com/205e460b479e2e5b48aec07710c08d50, което в крайна сметка ще пренасочи посетител към публиката на странцита на потребителя на Gravatar.

Това не е проблем: и в двата случая потребителското име на Gravatar или параметрите MD5 на Beau не може да бъде лесно предсказано от посетител и трябва да бъде известно предварително.

Обаче допълнителен метод за достъп до потребителски данни, които не са разкрити в документите, включва просто използване на цифров идентификатор, свързан с всеки профил, за извличане на данни.

Скритият URL адрес позволява изброяване на потребителите

Италианският изследовател по сигурността Карло Ди Дато, откривайки тази възможност, се обърна към медиите  тази седмица, след като не успя да получи конкретни отговори и действия  от Gravatar.

Както може да се види в примерния профил на Beau по-горе, щракването върху връзката “JSON” на страницата води до http://en.gravatar.com/beau.json, връщащо JSON представяне на данните на профила.

Полето „id“ в JSON blob веднага привлича вниманието.

Скрит маршрут на API в услугата позволява на всеки да получи JSON данни на потребителя, като просто използва полето “id” на профила.

„Забелязах интересно поле с име„ id “(това е цяла стойност). Следващата стъпка беше да проверя дали профилът ми е достъпен с помощта на„ id “, казва изследователят.

“Така че прегледах http://en.gravatar.com/ID.json и той работи. Сега, когато знам, че мога да осъществя достъп до JSON данните на потребителя, като използвам цяло число, следващата логическа стъпка беше да проверя дали мога извърша потребителско изброяване “, продължи той.

Чрез писане на прост тестов скрипт, който последователно посещава URL адреси на профили от идентификатори 1 до 5000 (както е показано по-долу), той успя да събере JSON данни за първите 5000 потребители на Gravatar без проблеми.

http://en.gravatar.com/1.json

http://en.gravatar.com/2.json

http://en.gravatar.com/3.json

http://en.gravatar.com/4.json

“Ако погледнете файла JSON, ще намерите много интересна информация. Опасността от този вид проблем е, че злонамерен потребител може да изтегли огромно количество данни и да извърши всякакъв вид атака за социално инженерство срещу законни потребители , “каза Ди Дато.

С елементарни тестове може да се потвърди, че определени потребителски профили имат повече публични данни от останалите, например адреси на портфейла на BitCoin, телефонни номера, местоположение и т.н.

Потребителите, които създават публични профили в Gravatar, се съгласяват да направят тези данни обществено достъпни, така че това не е изтичане на данни или проблем с поверителността в това отношение.

„Разбира се, г-н Стивън знае, че регистрирайки се в Gravatar, данните му ще бъдат публично достъпни. Това, което съм почти сигурен, че той не знае, е, че успях да извлека тези данни, като поисках Gravatar по начин, който не трябва да е възможен “, заяви Ди Дато.

Той продължи: “Както Gravatar посочва в своите ръководства, трябва да имам имейл адреса на г-н Стивън или неговото потребителско име за Gravatar, за да изпълня заявката. Без тази информация за мен би трябвало да е почти невъзможно да получа данните на г-н Стивън, нали? ”

Проблем като този става значим, тъй като всеки уеб робот или бот вече може последователно да прави заявки за  цялата база данни на Gravatar и да събира много лесно публични потребителски данни благодарение на тази малко известна, почти законна, но ефективна техника.

В миналото имаше случаи, в които престъпници са изтривали групово данните на профили във Facebook, използвайки неговите API, и са продавали масивите от данни  в тъмната мрежа с цел печалба.

По материали от интернет

Сподели в:

Следвай ни в: