Gravatar e scraping: 167 milioni di utenti colpiti

Gravatar e scraping: 167 milioni di utenti colpiti

La piattaforma precisa che non si è trattato di un attacco, ma le informazioni degli iscritti sono comunque state distribuite online.
La piattaforma precisa che non si è trattato di un attacco, ma le informazioni degli iscritti sono comunque state distribuite online.

Il servizio più noto e conosciuto al mondo per la creazione degli avatar da associare agli account online, Gravatar, è al centro di una nuova segnalazione diramata da Have I Been Pwned, portale che avvisa gli utenti quando i loro dati sono oggetto di un leak o di una violazione. Sono in totale 167 milioni i profili interessati.

Gravatar precisa che non è stato un attacco

Quanto emerso è riconducibile allo scraping ovvero alla raccolta massiva di informazioni relative a coloro iscritti a una piattaforma, come accaduto quest'anno anche a LinkedIn e Clubhouse. L'azione è stata eseguita nell'ottobre 2020, attraverso la tecnica scoperta dal ricercatore italiano Carlo Di Dato e allora descritta su queste pagine.

I vertici della piattaforma sono ben presto intervenuti per sottolineare come non si sia trattato di un attacco, attraverso un thread condiviso su Twitter di cui riportiamo di seguito un estratto in forma tradotta.

Gravatar non è stato violato, il nostro servizio vi offre il controllo sulle informazioni che desiderate condividere online, quelle per le quali fornite l'autorizzazione sono rese pubbliche attraverso la nostra API, come nome completo, nickname, località, indirizzo email e una breve biografia.

In breve, secondo la società, ad essere stati raccolti e distribuiti sono dati pubblici che gli stessi utenti hanno scelto in modo libero e volontario di condividere, non informazioni riservate. Tutto vero, ma anche questi, nelle mani sbagliate, potrebbero essere impiegati con finalità non esattamente benevole.

Una spiegazione che convince poco anche il ricercatore Troy Hunt (tra le altre cose fondatore di Have I Been Pwned), che sottolinea come, pur non essendosi trattato di un attacco, sarebbe stato corretto rendere noto l'accaduto agli utenti in modo tempestivo, prima che lo scoprissero da altre fonti. Un punto di vista certamente condivisibile.

Il servizio di Gravatar è stato acquisito nel 2007 da Automattic che l'ha integrato in WordPress.

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti