Красивая у вас аватарка
В октябре 2020 ИБ-исследователь заметил уязвимость в сервисе для аватарок Gravatar. Уязвимость позволяла массово собирать данные пользователей. Формально эти данные — имя и почта, например — были публичными. Исследователь, однако, предупредил: пользователи наверняка не знают о том, что их данные могут собирать таким образом, и такой возможности быть не должно.
Переносимся в декабрь 2021. Сервис HaveIBeenPwned рассказал, что слиты «167 миллионов имён, юзернеймов и зашифрованных email-адресов пользователей Gravatar». Все эти данные массово собрали и продают на хакерских форумах. 114 миллионов почтовых адресов — 68% — расшифровали и продают вместе с исходным хэшем.
Масштабы серьёзные — если у человека есть WordPress- или GitHub-аккаунт, значит, у него почти наверняка есть и аккаунт Gravatar. А значит, его данные попали в этот набор. Выглядит не очень, но успокаивает лишь одно — собраны лишь имена, ники и почты. Паролей или прочей критической информации в утечке не оказалось.
Впрочем, и почт достаточно. Если хакеры знают, что за этой почтой живой человек, они могут попробовать забрутфорсить его пароли на различных ключевых сервисах — вроде тех же WordPress и GitHub. Для слабых паролей такие попытки вполне могут увенчаться успехом. Кроме того, почти наверняка эти почты используют в будущем для спамерских или фишинговых рассылок.