This post is also available in: Português
Um site de segurança enviou avisos por e-mail sobre uma violação de dados afetando mais de 100 milhões de usuários do Gravatar, que nega ter sofrido invasão.
New scraped data: Gravatar had 167M profiles scraped in Oct last year via an enumeration vector. 114M of the MD5 email address hashes were subsequently cracked and distributed alongside names and usernames. 72% were already in @haveibeenpwned. Read more: https://t.co/gLN3jDx1Wf
— Have I Been Pwned (@haveibeenpwned) December 5, 2021
O serviço Gravatar, que facilita ou gerencia o login de usuários por uma série de serviços, foi vítima de um vazamento de dados. A informação é do serviço Have I been Pwned, que monitora vazamentos de dados pessoais e de acesso ao redor do mundo e avisou aos membros cadastrados sobre o ocorrido.
Imagem/Reprodução: Search Engine Journal
Segundo o site, o Gravatar teve uma brecha descoberta em outubro de 2020, que permitia a “captura” de uma enorme quantidade de dados dos usuários. Algum tempo depois, essa vulnerabilidade foi de fato explorada, resultando em um alerta.
Até o momento, as informações divulgadas afirmam que cerca de 114 milhões de usuários tiveram algum tipo de informação coletada. Apesar de muitas pessoas não conhecerem a plataforma por seu nome, ela é conectada aos serviços da Automattic, como a plataforma de publicação do WordPress.
Gravatar diz que não foi um ciberataque
O que surgiu é atribuível ao scraping ou a massiva coleta de informações relativa aos inscritos numa plataforma, como aconteceu também com o LinkedIn e ao Clubhouse neste ano.
Os líderes da Gravatar logo se pronunciaram afirmando que não se tratava de um ataque. Eles disseram que o serviço dá controle sobre as informações que o usuário deseja compartilhar online, as informações para as quais o usuário fornece permissão são tornadas públicas através da API, como nome completo, apelido, localização, endereço de e-mail e uma pequena biografia.
Ou seja, segundo a empresa, o que se armazena e distribui são dados públicos que os próprios usuários optaram por partilhar de forma livre e voluntária, e não informações confidenciais. Porém, mesmo esses dados sendo públicos, estando em mãos erradas, podem ser usados para fins maliciosos.
Troy Hunt, fundador da Have I Been Pwned, diz que mesmo que não tenha sido um ciberataque, é correto torna-lo conhecido aos usuários em tempo hábil.
The argument of "well, it's public data anyway" is a view held by the minority. The vast majority of people consistently say "I didn't expect my data to be used in this way and I'm unhappy it's now out there and being passed around in this format".
— Troy Hunt (@troyhunt) December 6, 2021
Fonte: PuntoInformatico.
This post is also available in: Português