Em uma instalação padrão do Discourse, o painel de cadastro solicita um e-mail. Ele afirma que esse e-mail é “Nunca exibido ao público”. No entanto, ao concluir o fluxo e finalizar o cadastro, antes que o usuário tenha qualquer chance de editar seu perfil ou fazer qualquer coisa, o endereço de e-mail é usado para buscar um avatar no Gravatar.
Considero isso um vazamento de informações de identificação pessoal. Um Gravatar poderia, em princípio, ser correlacionado com a identidade de alguém e, portanto, com seu endereço de e-mail. O usuário tem a oportunidade de alterar o avatar, mas é possível, em princípio, que alguém veja a conta e o avatar associado antes que o usuário tenha feito qualquer ação, usando a lista pública de “Usuários”. O suporte ao Gravatar é um recurso excelente, mas o problema é que o Discourse cria especificamente a expectativa de que o endereço de e-mail seja privado, usando a linguagem presente na caixa de Cadastro: “Nunca exibido ao público”.
Acho que a melhor maneira de corrigir isso seria alterar o texto da caixa de cadastro para criar uma expectativa diferente ou incluir uma caixa de seleção/confirmação para “buscar avatar com Gravatar”.
Encontrei esse problema nos fóruns do Letsencrypt, mas, ao testar, posso confirmar que o mesmo comportamento ocorre em try.discourse.org e neste fórum (meta.discourse.org).
Você não pode definir “o público” como Gravatar, especialmente porque a solicitação é direta do servidor para um servidor do Gravatar, via HTTPS criptografado. E não é usado o hash do e-mail?
Presumo que os dados pessoais identificáveis (PII) aqui sejam o conteúdo da própria imagem. Você pode não querer que o público saiba quem você é ao se cadastrar em um site Discourse com seu endereço de e-mail, especialmente porque é dito que seu e-mail será privado.
Em outras palavras, eu me cadastro com algum nome de usuário aleatório para proteger minha privacidade, mas uso meu endereço de e-mail normal. Com base na frase “nunca mostrado ao público”, eu não esperaria que minha imagem fosse imediatamente vinculada àquela conta para que qualquer pessoa pudesse vê-la.
Você fez o upload da sua imagem para o Gravatar, associada ao seu e-mail, porque quer que ela te acompanhe em todos os lugares onde você usa a internet. Se você não quer que ela te acompanhe, não faça o upload dela para o Gravatar.
Um gravatar não é PII por definição — é PII pública, que é uma categoria separada. O hash, por definição, é unidirecional.
Qualquer pessoa que leve a privacidade a sério não usa o mesmo e-mail em todos os lugares, vinculado a um gravatar. Até mesmo o uso de endereços com o recurso “plus” o torna ineficaz.
Endereços de e-mail também são considerados PII pública, pois, em alguns casos, podem revelar gênero, idade e localização, além do nome.
O risco de segurança padrão de reverter hashes e o risco de rastreamento de visitantes do Gravatar são evitados no Discourse, pois o servidor realmente baixa a imagem.
Se você tiver vários e-mails com o mesmo avatar (como eu), não é possível descobrir com qual deles me inscrevi em um fórum, a menos que você seja o Gravatar. O Discourse não mantém nem publica um histórico de avatares, então a solução alternativa do usuário é bastante simples (voltar a usar uma letra ou fazer upload de uma nova imagem). E você sempre pode fazer upload manualmente do avatar de outra pessoa.
Isso não parece ser um ataque confiável de executar.
