+7 (812) 677-17-05

Красивая у вас аватарка

#

В октябре 2020 ИБ-исследователь заметил уязвимость в сервисе для аватарок Gravatar. Уязвимость позволяла массово собирать данные пользователей. Формально эти данные — имя и почта, например — были публичными. Исследователь, однако, предупредил: пользователи наверняка не знают о том, что их данные могут собирать таким образом, и такой возможности быть не должно.

Переносимся в декабрь 2021. Сервис HaveIBeenPwned рассказал, что слиты «167 миллионов имён, юзернеймов и зашифрованных email-адресов пользователей Gravatar». Все эти данные массово собрали и продают на хакерских форумах. 114 миллионов почтовых адресов — 68% — расшифровали и продают вместе с исходным хэшем.

Масштабы серьёзные — если у человека есть WordPress- или GitHub-аккаунт, значит, у него почти наверняка есть и аккаунт Gravatar. А значит, его данные попали в этот набор. Выглядит не очень, но успокаивает лишь одно — собраны лишь имена, ники и почты. Паролей или прочей критической информации в утечке не оказалось.

Впрочем, и почт достаточно. Если хакеры знают, что за этой почтой живой человек, они могут попробовать забрутфорсить его пароли на различных ключевых сервисах — вроде тех же WordPress и GitHub. Для слабых паролей такие попытки вполне могут увенчаться успехом. Кроме того, почти наверняка эти почты используют в будущем для спамерских или фишинговых рассылок.

18.12.2021 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных