Teknik enumerasi pengguna yang ditemukan oleh peneliti keamanan Carlo Di Dato menunjukkan bagaimana Gravatar dapat disalahgunakan untuk pengumpulan data massal profilnya oleh web crawlers dan bots.
Gravatar adalah layanan avatar online yang memungkinkan pengguna mengatur dan menggunakan gambar profil (avatar) di beberapa situs web yang mendukung Gravatar.
Menurut dokumentasi resmi Gravatar, struktur URL profil Gravatar terdiri dari nama pengguna atau hash MD5 dari alamat email yang terkait dengan profil itu.
Peneliti keamanan Italia Carlo Di Dato dalam menemukan kemungkinan ini menghubungi BleepingComputer minggu ini setelah gagal mendapatkan tindakan konkret dari Gravatar.
Rute API tersembunyi di dalam layanan memungkinkan siapa saja untuk mendapatkan data JSON pengguna hanya dengan menggunakan bidang “id” profil.
“Jika Anda melihat file JSON, Anda akan menemukan banyak informasi menarik. Bahaya dari masalah semacam ini adalah bahwa pengguna jahat dapat mengunduh data dalam jumlah besar dan melakukan segala jenis serangan social engineering terhadap pengguna yang sah,” kata Di Dato.
Dalam pengujian yang dilakukan BleepingComputer, mereka dapat mengonfirmasi profil pengguna tertentu memiliki lebih banyak data publik daripada yang lain, misalnya, alamat dompet BitCoin, nomor telepon, lokasi, dll.
Pengguna yang membuat profil publik di Gravatar setuju untuk membuat data ini tersedia untuk umum, jadi ini bukan kebocoran data atau masalah privasi dalam hal itu.
Dulu, penjahat telah mengumpulkan data profil Facebook secara massal menggunakan API-nya dan menjualnya di dark web untuk mendapatkan keuntungan.
Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer