Je développe des alertes Google pour le service GitSpo. Je ne comprenais pas exactement ce que c'est, mais le service se développe rapidement et les gens l'aiment. Une grande partie de GitSpo collecte des données à partir de divers réseaux sociaux: Twitter, LinkedIn et Stack Overflow. J'ai remarqué une chose: Stack Overflow utilise le service Gravatar pour les avatars dans les profils utilisateur.Gravatar est un service qui associe une image (dans notre cas, un avatar) à votre adresse e-mail. Cette image peut être utilisée par d'autres sites (dans notre cas, Stack Overflow) pour afficher un avatar pour les personnes visitant le site.L'avatar de l'utilisateur est trouvé en hachant son adresse e-mail. Par exemple, mon adresse e-mail est gajus@gajus.com . Quiconque a mon e-mail peut générer un lien vers une image avec mon avatar. Par exemple, https://www.gravatar.com/avatar/74a5bd659b3a8af09a336a932eebe3b1Nous obtenons:
Gravatar a été lancé en 2007 et a connu une croissance rapide en partie parce qu'il est utilisé comme service par défaut pour les avatars utilisés sur les sites WordPress. Excellente idée - téléchargez un avatar une fois et il sera automatiquement installé sur tous les sites. Mettez simplement à jour l'avatar sur Gravatar et l'image de votre avatar changera immédiatement sur tous les sites. Mais malheureusement, l'algorithme de cryptage qu'ils ont choisi s'est révélé totalement dangereux.
Le lien vers l'image est généré par le hachage MD5 de votre adresse e-mail, avant d'être transféré en minuscules et les espaces supprimés.md5('gajus@gajus.com') === '74a5bd659b3a8af09a336a932eebe3b1'
L'utilisation de MD5 pour hacher des informations personnelles était un mauvais choix même à cette époque. À ce jour, la base de données de chiffrement MD5 compte plus de 90 billions de hachages. De plus, la moitié des adresses e-mail contiennent une plage limitée de caractères ( /^►az@\-.†+$/ ) et il est assez facile de prévoir leurs terminaisons, par exemple, un domaine aussi populaire que@ gmail.com
.J'ai décidé d'expérimenter et j'ai pris 1000 hachages de profil Stack Overflow et j'ai utilisé l'un des services de décryptage. Le résultat a été 721 adresses e-mail, soit 72% de réussite.Cependant, il est intéressant d'utiliser ce cas non seulement pour recevoir des adresses e-mail. De nombreuses adresses e-mail de développeurs sont déjà accessibles au public, car les adresses e-mail de GitHub peuvent être obtenues à partir de leurs profils, commits, fichiers et licences, ou même directement dans les commentaires du code. GitSpo possède des données sur tous les profils et référentiels GitHub accessibles au public, j'ai donc pu hacher les adresses et les comparer avec les hachages Stack Overflow. Et j'en ai trouvé 1000.Il convient de noter que non seulement Stack Overflow utilise Gravatar, il est également utilisé par WordPress, HootSuit, TechDirt, Disqus et pas seulement. Stack Overflow s'est distingué parmi les autres, car il s'agit d'une ressource dont le public principal est les développeurs et j'ai été surpris qu'une telle chose soit passée par la fente.En fait, aujourd'hui Stack Overflow ne peut pas faire grand chose - pas mal de sites sur Internet, qui sont une copie de Stack Overflow. Cependant, il serait intéressant de désactiver l'utilisation de Gravatar pour les nouveaux utilisateurs qui s'inscrivent.