Bellingcat: The Osint Gatekeepers Who Can't Secure Their Own Site
2 months ago
- #Bellingcat
- #Cybersecurity
- #OSINT
- 知名开源情报组织Bellingcat被曝在其公开的WordPress站点地图中泄露了173个Gravatar头像邮箱哈希值
- 其中89个哈希值被破解还原为原始邮箱地址,32个Gravatar个人资料遭截取,暴露出真实姓名、地理位置及社交媒体账号
- 本次调查源于作者因在Bellingcat的Discord频道发布GIF动图遭不公正封禁,随后遭到关联OSINT社群的自动连带封杀
- Bellingcat的ModMail机器人要求获取用户加入的所有Discord服务器信息,对成员的操作安全构成重大风险
- 该组织未实施基础的WordPress安全措施,包括禁用作者枚举功能和清除站点地图中的Gravatar哈希值
- Bellingcat的连带封禁系统存在过度惩戒问题,用户因轻微违规就会在多个OSINT社群遭到连锁封杀
- 调查结果凸显讽刺性:Bellingcat虽教授开源情报技术,却未能运用同类方法保护自身数据安全