Vazamento de dados foi alertado pelo site Have I Been Pwned, serviço que monitora violação de senhas; entenda.
O Gravatar, plataforma de disponibilização de avatares, foi vítima de um vazamento de dados recentemente, segundo informações do serviço Have I Been Pwned. O site monitora vazamentos de credenciais de acesso, por meio de buscas que checam informações como e-mail e telefone cadastrados. Estima-se que dados de 114 milhões de usuários do Gravatar possam estar nas mãos dos hackers ou cibercriminosos.
Segundo o site, uma brecha de segurança descoberta em outubro de 2020 permitia a raspagem de um grande volume de dados dos usuários do Gravatar. Mais tarde, essa vulnerabilidade foi de fato explorada, resultando em um alerta. O Gravatar está integrado às contas do site WordPress.
O alerta do Have I Been Pwned também informa sobre os vazamentos de dados dos usuários. Ao que tudo indica, 167 milhões de nomes, nomes de usuário e MD5 hashes — algoritmo de sintetização de mensagem de endereços de e-mail usados para fazer referência aos avatares dos usuários — foram replicados e divulgados na comunidade de hackers.
Troy Hunt, criador do Have I Been Pwned, publicou um tuíte sobre o assunto no último domingo (5). Na publicação, ele afirmou estar entre as vítimas do vazamento e cobrou explicações ao Gravatar. “Meus dados estão no scrap do Gravatar (e estavam no LinkedIn). Não é algo enorme, mas ainda é frustrante, e eu quero saber sobre isso”, relatou Hunt.
Hunt disse que não deixará de usar o serviço, mas que a plataforma precisa se defender de scrapping (“raspagem”, em tradução livre). O termo dá nome a uma técnica que automatiza a coleta de dados em um site ou aplicativo web e costuma ser utilizada para agilizar a consulta e coleta em bases públicas.
Teste do bug e dados vazados
O site Bleeping Computer publicou uma demonstração do bug da Gravatar. Eles indicaram que um método adicional de acesso aos dados do usuário inclui o uso de um ID numérico associado a cada perfil para buscar dados. Isso permitiria que qualquer rastreador da web ou bot pudesse consultar sequencialmente todo o banco de dados do Gravatar e, assim, coletar dados públicos com muita facilidade.
Nos testes realizados pela empresa, pode-se confirmar que determinados perfis têm mais dados públicos do que outros. Estão expostos, por exemplo, endereços de carteira BitCoin, números de telefone, localização e mais. Segundo o Bleeping Computer, os usuários que criam perfis públicos no Gravatar consentem em tornar esses dados publicamente disponíveis.
Como se proteger?
Embora sites, serviços e redes sociais ofereçam medidas de proteção contra hackers, nenhuma plataforma está completamente a salvo de brechas de segurança e scrapping. Em se tratando deste último caso, o usuário não tem muito a fazer: é preciso que o site faça ajustes de segurança ou atualize as permissões de privacidade.
Para manter a privacidade dos dados, porém, o usuário pode seguir algumas recomendações. Entre elas está não salvar informações de pagamento. Apesar de cômoda, essa prática é perigosa, já que o material pode cair em mãos de cibercriminosos em possíveis vazamentos.
Também é importante criar senhas fortes, evitando o uso de palavras-chave facilmente adivinháveis. Outra dica é ativar a verificação em duas etapas sempre que possível, para criar uma camada extra de proteção.
Fonte:Techtudo