Actualités

“Gravatar n’a pas été piraté” : l’éditeur dément l’exposition de millions de comptes-utilisateurs diffusée par Troy Hunt ! (HaveIBeenPwned…)

Site bien connu et de confiance (pour ne pas dire forte, notamment du fait que le site a été conçu par l’expert sécuritaire Troy Hunt qui vogue, entre-autres, dans les rangs de Microsoft), HaveIBeenPwned a diffusé, depuis quelques jours, des mails d’alertes à bon nombres d’utilisateurs qui dépendent de Gravatar, un site permettant de jointer universellement un compte (avec image ou avatar) avec son compte-utilisateur depuis plusieurs sites Web, sous réserve de compatibilité ou qu’une option dédiée soit proposée. Brèche sécuritaire mise en lumière originellement par le chercheur Carlo Di Dato, elle aurait exposé 167 M de pseudos et noms ainsi que 113 990 759 millions d’adresses mails (sous MD5 hash)…

 

 

L’affaire ne date pourtant pas d’hier mais de l’année dernière : en Octobre 2020 le chercheur sécuritaire Carlo Di Dato alertait grandement sur une ex-filtration de données massives via un PoC démontrant une capacité malveillante via la programmation d’un bot. Celui-ci n’aurait alors besoin que de deux informations, essentiellement : d’une part le nom de l’utilisateur et, d’autres part, la chaîne MD5 pour aspirer le mail sous la coupe de ce chiffrement considéré, désormais, comme désuet ou, du moins, peu sécuritaire. Une fois l’une des inconnues connue, la base de données est siphonnée par URLs via export, directement depuis les serveurs Gravatar : j’ai été étonné de constater que Gravatar n’utilisait aucune protection et qu’il me permettait simplement d’accéder aux données des utilisateurs. Or, le fait que ces données soient publiques pourrait être trompeur et suggérer qu’il ne s’agit pas d’un réel problème. En réalité ce n’est pas le cas. Pour un utilisateur qui souhaite collecter des données puis procéder à tout type d’attaque d’ingénierie sociale, la possibilité de télécharger les données de millions d’utilisateurs au format json (il y a environ 194 000 000 d’utilisateurs) représente une mine d’or. Je vais vous donner un exemple : même sans connaître l’utilisateur et/ou l’adresse email, j’ai pu visualiser les données suivantes d’un certain M. Stephan : #1 – où il habite #2 – ses utilisateurs facebook, twitter et flickr #3 – son portefeuille bitcoin“, confirmait dangereusement le chercheur italien, à l’époque avec, en prime, un fichier JSON assez bavard pour des yeux avertis, ce qui pouvait ou pourrait (?) permettre d’envisager des cyber-attaques multiples dont une attaque par ingénierie sociale. Déjà à l’époque, le chercheur confirmait, également, avoir reporter la brèche sécuritaire assez critique à Gravatar qui n’avait vraisemblablement pas répondu audit report, ce qui avait débouché sur la publication directe du PoC (sans embargo…).

 

Un problème qui semble donc très loin d’être résolu puisque même le site HaveIBeenPwned, depuis le 5 Décembre 2021, re-émet une alerte sécuritaire sur cette faille du 3 Octobre 2020. Noms, pseudos et mails, donc, sont compromis.

Gravatar n’a pas été piraté. Notre service vous permet de contrôler les données que vous souhaitez partager en ligne. Les données que vous choisissez de partager publiquement sont mises à disposition via notre API. Les utilisateurs peuvent choisir de partager leur nom complet, leur nom d’affichage, leur emplacement, leur adresse e-mail et une courte biographie […] L’année dernière, un chercheur en sécurité a récupéré des données Gravatar publiques – des noms d’utilisateur et des hachages MD5 d’adresses e-mail utilisés pour référencer les avatars des utilisateurs en abusant de notre API. Nous avons immédiatement corrigé la possibilité de récolter les données de profil public en masse“, assure Gravatar, depuis le 6 Décembre 2021 et par le biais de son compte officiel Twitter.

A l’heure de ces lignes, le fichier json en question (accessible depuis une URL spécifique et renvoyant au compte-utilisateur) renvoie, en clair et de manière compréhensible pour n’importe qui sait lire, aux informations personnelles ou rattachées à un utilisateur sous Gravatar (réseaux sociaux ou sites rattachés au compte…). En, l’état, la brèche est donc bien existante depuis Octobre 2020, au moins… A veiller !

 

 

Source : PuntoInformatico – 6 Octobre 2020 – Gravatar : aspiration de données.




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6