Gehackte Zugangsdaten von Gravatar nun in der HiBP Datenbank.
Im Oktober 2020 veröffentlichte der Sicherheitsforscher Carlo Di Dato eine Technik zum Abgreifen großer Datenmengen von Gravatar. Gravatar ist ein Online-Avatar-Dienst, mit dem Benutzer ein Profilbild (Avatar) für mehrere Websites, die Gravatar unterstützen, festlegen und verwenden können. Im Oktober 2020 hatte Carlo die Dato die Sicherheit lücke entdeckt, so war es möglich die öffentlichen Profile via simplen Script herunterzuladen. Denn ein Userprofil ist via https://en.gravatar.com/<username> abrufbar. Wenn auf einem Profil war, konnte man im Profil auf einen json Link klicken. Wie hier im Beispielprofil von Gravatar. Nun hat man eine ID, einen Hashwert, sowie allerlei private Daten; Name, Anschrift usw. Zum Zeitpunkt des Bugs (Oktober 2020) war es dann möglich, mehrere Profile herunterzuladen, einfach anhand der ID. So der hatte…