Im Oktober 2020 veröffentlichte der Sicherheitsforscher Carlo Di Dato eine Technik zum Abgreifen großer Datenmengen von Gravatar. Gravatar ist ein Online-Avatar-Dienst, mit dem Benutzer ein Profilbild (Avatar) für mehrere Websites, die Gravatar unterstützen, festlegen und verwenden können.

Im Oktober 2020 hatte Carlo die Dato die Sicherheit lücke entdeckt, so war es möglich die öffentlichen Profile via simplen Script herunterzuladen. Denn ein Userprofil ist via https://en.gravatar.com/<username> abrufbar.

Wenn auf einem Profil war, konnte man im Profil auf einen json Link klicken. Wie hier im Beispielprofil von Gravatar. Nun hat man eine ID, einen Hashwert, sowie allerlei private Daten; Name, Anschrift usw.

Zum Zeitpunkt des Bugs (Oktober 2020) war es dann möglich, mehrere Profile herunterzuladen, einfach anhand der ID. So der hatte der Sicherheitsforscher per Script die ersten 5000 Profile heruntergeladen. Hier waren Bitcoin

http://de.gravatar.com/1.json
http://de.gravatar.com/2.json
http://de.gravatar.com/3.json
http://de.gravatar.com/4.json

„Wenn man sich die JSON-Datei anschaut, findet man eine Menge interessanter Informationen. Die Gefahr bei dieser Art von Problem besteht darin, dass ein böswilliger Benutzer eine große Menge an Daten herunterladen und jede Art von Social-Engineering-Angriff gegen legitime Benutzer durchführen könnte“, sagte Di Dato.

167 Millionen Namen, Nutzernamen und MD5-Hashes von E-Mail-Adressen, die als Referenz für die Avatare von Nutzern verwendet wurden, wurden nach der Veröffentlichung abgegriffen und in der Hacker-Community verbreitet. 114 Millionen der MD5-Hashes wurden geknackt und zusammen mit dem Quell-Hash verbreitet, wodurch die ursprüngliche E-Mail-Adresse und die dazugehörigen Daten offengelegt wurden.

Wer nun überprüfung möchte ob es getroffen ist, kann dies auf der Seite „Have i been Pwnd“ tun. In der Datenbank befinden sich 113,990,759 Datensätze.

Quelle: HiBP, Bleepingcomputer