ARTICLE AD BOX
資訊警報機构已通知用戶,114名紅衣主教格拉瓦塔用戶的插圖指控已在網上成功洩露,他們稱之為資訊洩露。 Gravatar否認被駭客入侵。
; 這是發送給HaveIBeenPwned用戶的電子郵件的螢幕截圖,該用戶將Gravatar訴訟定性為資訊洩露:
我討厭收到這只猫的電子郵件; pic.twitter.com/rkZrmzU7hp
— Troy Hunt(@troyhunt)2021年12月6日
Gravatar枚舉漏洞
對每個與Gravatar有關係的特殊人的特殊指控不限於使用以下捆綁包下載:; 刮傷” 數據。
廣告
繼續閱讀下麵的內容
,但從科技上講,這並不構成違約, Gravatar存儲特殊指控的成功模式使得具有惡意意圖的特殊指控變得不經意,這種特殊指控可能會通過不同攻擊的鈹部分來匯總密碼和存取權限。
Gravatar帳戶是民族主義者 資訊。 然而,這些獨特的個人插圖帳戶並沒有被公開列出,這是tin easy鈹瀏覽的成功模式。 通常情况下,一個特殊的人會認識到關係指控,類似於用戶名成功競標來發現關係和每個公開的可支配資訊。
一比特資訊研究人員發現成功的早熟2020記錄了懷孕者的特殊關係指控 成功的數位順序。 然而,資訊研究人員從描述的剪輯中進行了一項質量研究,他偷看了一條JSON記錄,並成功連結了插圖頁,顯示了一個ID圖,該ID圖與分配給該用戶的數位圖相對應。
該特殊識別圖的職業是該插圖可以 鈹達到了這個數位。
廣告
繼續閱讀下麵的內容
,因為圖不是隨機生成的,而是成功的數位順序, 任何人如果希望輸入每個Gravatar用戶名,都可以通過請求並删除特殊設定檔成功的數位順序來輸入該指控。
數據删除事件
資訊洩露被定義為非法,而未經授權的特殊性獲得輸入到非非法的指控 公開提供。
對Gravatar的指控是公開的,但局外人可能會要求一個人承認Gravatar特質成功競標的用戶名,以將其匯總到Gravatar特質檔案中。 此外,該特殊類型的電子郵件程式碼以不安全的加密模式(稱為MD5雜湊)存儲。
MD5雜湊是不安全的,不加密鈹(也稱為砷破解)。 MD5格式成功地存儲電子郵寄地址,提供了不重要的資訊保護。
這意味著,以前攻擊者下載用戶名和電子郵件MD5雜湊時,它已經超過了用戶的基本內容; 根據最初發現用戶名枚舉漏洞的資訊研究人員的說法,Gravatar lone已經“ 幾乎沒有投訴限制” 這意味著一個刮板機器人可以申請數以百萬計的特殊設定檔,而不會因為可疑行為而被俄勒岡州的質疑所封锁。
根據從2020年10月開始的新聞報導,該漏洞被初步披露:
“ 雖然Gravatar用戶提供的與其個人資料相關的資訊已經公開,但該工作的偶然特質枚舉方面幾乎沒有投訴限制,這引起了人們對特質數據的廣泛假設的擔憂。”
Gravatar最小化用戶數據收集
Gravatar在推特上發表了民族主義聲明,最大限度地减少了特殊指控收集的互動。
Gravatar通過認證的個人資料幫助您線上發現個性。 我們; 再次提醒大家注意網絡上聲稱Gravatar被駭客攻擊的言論,老實說,我們有權擴大錯誤資訊。 (1/4)
— Gravatar.com(@Gravatar)2021年12月6日Gravatar未被駭客入侵。 我們的工作為您提供了線上股票所需的資訊。 您公開儲存的資訊可通過我們的API一次性使用。 用戶可以儲存他們的漂浮姓名、演出名稱、地點、電子郵寄地址和簡短的傳記。
(2/4)
— Gravatar.com(@Gravatar)2021年12月6日
繼續閱讀下麵的內容
去年,一名資訊研究人員蒐集了民族主義的Gravatar資訊– 用於標記用戶的用戶名和MD5電子郵寄地址雜湊; 通過濫用我們的API獲得頭像。 我們立即修補了質量,以獲得全國性的插圖資訊。 (3/4)
— Gravatar.com(@Gravatar)2021年12月6日最後一條推特成功地通過了Gravatar的競標,這條推特鼓勵讀者相信Gravatar的工作原理:
諷刺的是,Gravatar利用HTTP連結到URL的不安全協定。 在確定URL後,沒有人將連接的Gravatar重定向到網頁的無懼(HTTPS)狀態,這破壞了他們的安全意識。 一比特推特特有的人反對使用連接&ldquo< em>違約&rdquo; 由於該指控是公開的。 我認為@troyhunt將該指控歸類為違約是不公平的。 這是表面刮擦,他們沒有得到尚未公開的東西。推特用戶的反應
廣告
繼續閱讀下麵的內容哈; 這就是為什麼它會說“ldquo; 刮取的數據&rdquo;。 但你也可以這麼說; 違約&rdquo; 在獲得資訊並在課餘時間被誤用時,在提供資訊的預期範圍內到期。 https://t.co/FwiqpUFSsp
&mdash; 特洛伊狩獵(@troyhunt)2021年12月6日
為什麼刮墓事件很重要
特洛伊狩獵, HaveIBeenPwned網站的這種特殊性解釋了為什麼Gravatar刮刮訴訟很重要的推特競標成功。
Troy聲稱,用戶委託給Gravatar的資訊被成功地利用了,這是一種出乎意料的模式。
Gravatar用戶的信任受到了侵蝕。
“無論如何,這是民族主義資訊”的說法只是少數人的一種假設。 大量的激進資訊始終是偶然的,“我沒想到我的資訊會成功地利用這種模式,我很不高興它現在已經退役,並且被成功地通過了這種格式。”; 特洛伊狩獵(@troyhunt)2021年12月6日? 人們經常請求受影響的工作删除他們的數據。 很明顯,這並沒有使精靈回到最成功的瓶子裏,但這是一個在斑點被侵蝕時成立的法令。
&mdash; Troy Hunt(@troyhunt)2021年12月6日用戶希望控制他們的墳墓資訊
Troy聲稱,用戶對鈹缺乏警惕,無論他們的指控如何被利用和訪問。
廣告
繼續閱讀下麵的內容 >至少確切地說,是意識。 我缺乏認知能力&ndash* 最根本的認知剝奪&ndash; 過去,我們的獨特資訊在我們沒有預料到的地方出現,而這正是@haveibeenpwned所做的。
&mdash; 特洛伊亨特(@troyhunt)12月6日, 2021年Gravatar用戶是否遭到攻擊?
鈹公司可能會發表聲明,稱Gravatar公司與鈹公司的關係是民族主義的,但並非易事。Gravatar公司聲稱,在他們受到惡意攻擊後,枚舉攻擊漏洞被披露 與之相鄰的步驟可封锁特殊資訊的進一步下載。
囙此,1 manus Gravatar採取步驟封锁惡意用戶獲取特殊資訊。 但是他們把不同的馬努斯聯系了起來,他們說關於格拉瓦塔被殺的報導
Related
RIGHT SIDEBAR TOP AD
Popular
Meta通過@sejournal、@MattGSouthern為Facebook個人資料引入專業模式
How to use Semantic SEO to Boost Your Content Strategy
Local SEO: 9 Must-Read Ways to Improve Your Local Search Ran...
How To Use Ethical Marketing To Attract The Right Audience
English (US)