Cover Image

Il servizio di avatar online Gravatar consente la raccolta di massa delle informazioni dell'utente

5 Ottobre 2020 - Tempo di lettura: 14 minuti

Una tecnica di enumerazione degli utenti scoperta dal ricercatore di sicurezza Carlo Di Dato dimostra come Gravatar possa essere sfruttato per la raccolta di dati di massa dei suoi profili da parte di web crawler e bot.

Gravatar è un servizio di avatar online che consente agli utenti di impostare e utilizzare un'immagine del profilo (avatar) su più siti Web che supportano Gravatar.

I casi d'uso più riconoscibili di Gravatar sono forse i siti Web WordPress integrati con il servizio e GitHub.

Mentre i dati forniti dagli utenti Gravatar sui loro profili sono già pubblici, l'aspetto di facile enumerazione degli utenti del servizio praticamente senza limiti di velocità solleva preoccupazioni per quanto riguarda la raccolta di massa dei dati degli utenti.

Come accedere a un profilo Gravatar (ufficialmente)

Nella nostra dimostrazione di questo bug, useremo il profilo "beau" menzionato nei documenti di Gravatar. Questo profilo appartiene a Beau Lebens, Head of Product Engineering per WooCommerce presso Automattic.

Secondo la documentazione ufficiale di Gravatar , la struttura dell'URL di un profilo Gravatar consiste in un nome utente o in un hash MD5 dell'indirizzo e-mail associato a quel profilo.

Ciò significa che è possibile accedere a un profilo con un nome utente "beau" su https://en.gravatar.com/beau  o navigando su https://www.gravatar.com/205e460b479e2e5b48aec07710c08d50 che alla fine reindirizzerà un visitatore al pubblico dell'utente Pagina Gravatar.

Questo non è un problema: in entrambi i casi, il nome utente Gravatar di Beau oi parametri MD5 non potevano essere facilmente previsti da un visitatore e dovevano essere conosciuti in anticipo.

Tuttavia, un metodo aggiuntivo per accedere ai dati dell'utente non divulgati nei documenti include semplicemente l'utilizzo di un ID numerico associato a ciascun profilo per recuperare i dati.

La route URL nascosta consente l'enumerazione degli utenti 

Il ricercatore italiano di sicurezza Carlo Di Dato, dopo aver scoperto questa possibilità, ha contattato BleepingComputer questa settimana dopo non essere riuscito a ottenere un'azione concreta da Gravatar.

Come si può osservare nel profilo di esempio di Beau sopra, facendo clic sul collegamento JSON " nella pagina, si accede a  http://en.gravatar.com/beau.json che  restituisce la rappresentazione JSON dei dati del profilo.

Il campo "id" nel blob JSON ha immediatamente attirato l'attenzione di Di Dato. 

Un percorso API nascosto nel servizio consente a chiunque di ottenere i dati JSON dell'utente semplicemente utilizzando il campo "id" del profilo.

"Ho individuato un campo interessante chiamato 'id' (è un valore intero). Il passo successivo è stato quello di verificare se il mio profilo era accessibile usando 'id'", ha detto il ricercatore.

"Quindi sono andato su http://en.gravatar.com/ ID .json e ha funzionato. Ora che so di poter accedere [ai dati JSON dell'utente] utilizzando un valore intero, il passaggio logico successivo è stato quello di verificare se posso eseguire un'enumerazione degli utenti ", ha continuato.

Scrivendo un semplice script di test che visita in sequenza gli URL del profilo dagli ID da 1 a 5000 (come mostrato di seguito), Di Dato è stato in grado di raccogliere i dati JSON dei primi 5000 utenti Gravatar senza problemi.

http://en.gravatar.com/1.json
http://en.gravatar.com/2.json
http://en.gravatar.com/3.json
http://en.gravatar.com/4.json
...


"Se dai un'occhiata al file JSON, troverai molte informazioni interessanti. Il pericolo di questo tipo di problema è che un utente malintenzionato potrebbe scaricare un'enorme quantità di dati ed eseguire qualsiasi tipo di attacco di ingegneria sociale contro utenti legittimi", ha detto Di Dato.

Nei nostri test, BleepingComputer ha potuto confermare che alcuni profili utente avevano  più  dati pubblici rispetto ad altri, ad esempio, indirizzi del portafoglio BitCoin, numeri di telefono, posizione, ecc.

Gli utenti che creano profili pubblici su Gravatar acconsentono a rendere questi dati pubblicamente disponibili, quindi non si tratta di una fuga di dati o di un problema di privacy a tale riguardo.

"Naturalmente, il signor Stephen sa che registrandosi su Gravatar, i suoi dati saranno pubblicamente accessibili. Quello che sono quasi sicuro che non sappia, è che sono stato in grado di recuperare questi dati interrogando Gravatar in un modo che non dovrebbe essere possibile ", ha affermato Di Dato.

Ha continuato: "Come afferma Gravatar nelle sue guide, dovrei avere l'indirizzo e-mail del signor Stephen o il suo nome utente Gravatar per eseguire la query. Senza queste informazioni, sarebbe stato quasi impossibile per me ottenere i dati del signor Stephen, giusto?"

Un problema come questo diventa problematico perché qualsiasi web crawler o bot può ora interrogare in sequenza virtualmente l'intero database Gravatar e raccogliere i dati degli utenti pubblici molto facilmente grazie a questa tecnica poco conosciuta ma efficace. 

In passato, i criminali hanno raschiato i dati del profilo Facebook in blocco utilizzando le sue API e hanno venduto le discariche sul dark web a scopo di lucro.

intopic.it