Шведские журналисты эксплуатировали уязвимость в сервисе Gravatar для идентификации «правых» политиков

Журналистская группа, сотрудничающая со шведским изданием Expressen, эксплуатировала уязвимость в стороннем сервисе для комментирования и раскрыла личности политиков Швеции, оставивших комментарии на «правых» форумах. Эксперты эксплуатировали брешь в сервисе Gravatar, о которой было известно еще с 2009 года.

Отметим, что пользователь, зарегистрированный на центральном сервере Gravatar, может сохранить на нем свою фотографию и адрес электронной почты. Когда он оставляет комментарий на ресурсе, поддерживающем Gravatar, и указывает свой электронный адрес, на стороне сайта вычисляется MD5-хэш и отправляется на сервер, с которого направляется фотография пользователя. Таким образом, аватар появляется возле его комментария даже на том сайте, где он не зарегистрирован.

Несколько лет назад блогер под ником abell  заявил , что ему удалось эксплуатировать уязвимость в сервисе и идентифицировать пользователей, которые оставляли свои комментарии анонимно. Использовав адреса электронной почты, которые были у него в распоряжении, он определил, какие комментарии и где оставляли их владельцы, даже если они делали это анонимно.

Следуя примеру abell, группа журналистов идентифицировала шведских политиков, которых объединяет «ненависть к эмигрантам». В связи с этим, хостинг-провайдер форума Disqus деактивировал поддержку сервиса Gravatar и заявил, что взлом хэша, используемого сервисом, нарушает неприкосновенность личной жизни пользователей.