NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Część mediów pisze o “wycieku” z Gravatara, chociaż chodzi tutaj “tylko” o scraping. Ktoś korzystając z prostej luki w API, przeiterował użytkowników i pobrał ich adresy e-mail (plus powiązane nazwy):
Sam problem był znany co najmniej od końca 2020 roku, a dostęp do (publicznych) danych był możliwy w taki sposób:
http://en.gravatar.com/1.json
http://en.gravatar.com/2.json
http://en.gravatar.com/3.json
http://en.gravatar.com/4.json
Po prostu kolejne identyfikatory aż do ~194000000.
~Michał Sajdak
Czy to to samo co jakiś czas temu udostępnili “towarzysze” ? paczka ~35G.. Wyciągnięte emaile czy md5’ki emaili? Bo to różnica.
167 milionów zahashowanych adresów mailowych (MD5), z czego 114 milionów udało się odwrócić.
Z Gravatarem, to w ogóle jest ciekawa sprawa, bo często ludzie myślą, że tylko mała ikonka 48×48 pikseli. A tu da się wejść na profil, na którym często jest już większa fota i nieraz ciekawe informacje, o których właściciel dawno już zapomniał.
Również alert Firefoksa (Firefox Monitor) podobnie nastraszył.
No to grubo…