No hay objetivo pequeño para los actores de amenazas. Los ciberdelincuentes pueden atacar cosas tan aparentemente inocuas como una herramienta para compartir tu fotos de perfil en otras plataformas.
Es lo que le ha ocurrido a Gravatar, un servicio que en origen permitía configurar una imagen o avatar en cualquier página web, red social, etc y que, posteriormente, también incorporó mostrar enlaces, información de contacto, direcciones de billetera, etc. Gravatar es propiedad de Auttomattic, también dueña del sistema de contenidos para blogs Wordpress.
Expertos en ciberseguridad han podido comprobar que Gravatar tendría una grave vulnerabilidad de seguridad que facilitaría una fuga de datos a gran escala.
El hallazgo fue realizado por Carlo di Dato, un investigador que en octubre del año pasado publicó una técnica para extraer grandes volúmenes de datos de la herramienta. Este descubrió que era posible obtener y enumerar la información de perfil de usuario de Gravatar mediante el formato de intercambio de datos JSON.
Una filtración que afecta a más de 100 millones de usuarios
Como resultado de la vulnerabilidad 167 millones de nombres, nombres de usuario y hashes MD5 de direcciones de correo electrónico que acompañaban a los avatares de los usuarios fueron extraídos y distribuidos dentro de la comunidad de hackers.
Así lo ha alertado el servicio HavelBeenPwned a aquellos usuarios que se habían registrado para la monitorización de violaciones de contraseñas. Troy Hunt, su fundador, de hecho, se habría visto afectado por el problema de filtración de datos, aunque ha señalado que no dejará de usar el servicio.
De los hash MD5, unos 114 millones habrían sido filtrados y distribuidos junto con el hash de origen, revelando así la dirección de email original y los datos que la acompañan.
Un hash es una función criptográfica, un algoritmo matemático que puede convertir cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Sea cual sea la longitud de los datos de entrada el valor hash siempre cuenta con la misma longitud, según explican desde Kaspersky.