Dados de quase 114 milhões de usuários do Gravatar vazam na internet
Por Felipe Demartini • Editado por Claudio Yuge |
Informações pessoais de quase 114 milhões de usuários do Gravatar foram vazadas na internet neste final de semana. O volume comprometido inclui nomes, logins e endereços de e-mail de pessoas ao redor do mundo que se cadastraram no sistema, usado principalmente como uma forma de exibir avatares em sites que rodam com o sistema de gerenciamento Wordpress.
- Criminosos podem adivinhar os dados do seu cartão de crédito em seis segundos
- Bandidos usam técnica simples e muito eficaz para espalhar malware em PCs
A revelação sobre o vazamento aconteceu na noite deste domingo (05), depois que o site Have I Been Pwned notificou usuários sobre a presença de suas informações em mais um volume comprometido. O serviço, voltado justamente para alertar sobre a aparição de informações pessoais em casos desse tipo, aponta a conexão entre o ocorrido agora e uma denúncia feita por especialistas em segurança em outubro do ano passado.
Na ocasião, o pesquisador Carlo Di Dato havia publicado uma prova de conceito sobre como seria possível coletar, em massa, as informações de milhões de usuários do Gravatar. Algumas das informações citadas, como nomes dos usuários e logins, são públicos, mas a coleta e categorização deles de forma massiva representa um perigo de segurança, principalmente, de cruzamento com outros bancos de dados comprometidos que podem revelar senhas usadas de forma repetida, assim como outros dados pessoais ou financeiros.
Na ocasião, hashes MD5 de 167 milhões de usuários foram obtidos como parte da exploração, contendo não apenas tais dados mas também os e-mails, que não deveriam estar disponíveis. Agora, os 113,9 milhões de registros comprometidos são, justamente, parte desse volume inicial, criptografados e sendo distribuídos ao lado do resgate do banco que ainda está embaralhado.
Segundo Troy Hunt, responsável pelo Have I Been Pwned e especialista em segurança, o caso tem relevância por representar, principalmente, uma quebra de confiança. Comentando a situação com o Gravatar no Twitter, ele disse ser favorável a sistemas que disponibilizem dados de maneira universal, mas que tais plataformas precisam ter proteções contra raspagem de dados. Além disso, na visão dele, é importante informar aos usuários sobre comprometimentos dessa categoria, mesmo que as informações contidas sejam públicas.
Cuidados de sempre
Usuários atingidos pelo vazamento devem ficar atentos a golpes de phishing e outros tipos de comunicação fraudulenta que cheguem por e-mail, seja em nome do Gravatar ou outros serviços. Evite clicar em links ou baixar aplicativos e softwares que cheguem por tais meios, procurando as empresas diretamente caso acredite que o contato seja legítimo.
Além disso, vale a pena inscrever o próprio e-mail em serviços como o Have I Been Pwned, que não apenas exibirá uma lista de todos os vazamentos de dados em que suas informações estiveram disponíveis como notificará em caso de novas. Softwares antivírus e o próprio Google também oferecem tais funcionalidades.
Resposta oficial
Em comunicado público emitido nesta terça (07), o Gravatar taxou o incidente como um mau uso de seus serviços, mas sem que protocolos de segurança fossem quebrados. A empresa confirmou que dados privados, como senhas, não foram vazados e que apenas os dados compartilhados publicamente pelos usuários, como parte de seus perfis públicos, estão no vazamento.
Sobre o incidente reportado em outubro de 2020, o Gravatar afirmou se tratar de um mau uso de sua API, que foi atualizada no dia seguinte à revelação do problema. Novamente, a companhia afirma que os dados disponibilizados ali são públicos, sem exposição de informações privadas ou sensíveis.
Fonte: Have I Been Pwned, Gravatar