Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciek z Gravatar! A nie, czekaj, tylko scraping
Część mediów pisze o „wycieku” z Gravatara, chociaż chodzi tutaj „tylko” o scraping. Ktoś korzystając z prostej luki w API, przeiterował użytkowników i pobrał ich adresy e-mail (plus powiązane nazwy):
Sam problem był znany co najmniej od końca 2020 roku, a dostęp do (publicznych) danych był możliwy w taki sposób:
http://en.gravatar.com/1.json
http://en.gravatar.com/2.json
http://en.gravatar.com/3.json
http://en.gravatar.com/4.json
Po prostu kolejne identyfikatory aż do ~194000000.
~Michał Sajdak
Czy to to samo co jakiś czas temu udostępnili „towarzysze” ? paczka ~35G.. Wyciągnięte emaile czy md5’ki emaili? Bo to różnica.
167 milionów zahashowanych adresów mailowych (MD5), z czego 114 milionów udało się odwrócić.
Z Gravatarem, to w ogóle jest ciekawa sprawa, bo często ludzie myślą, że tylko mała ikonka 48×48 pikseli. A tu da się wejść na profil, na którym często jest już większa fota i nieraz ciekawe informacje, o których właściciel dawno już zapomniał.
Również alert Firefoksa (Firefox Monitor) podobnie nastraszył.
No to grubo…