Gravatar sagt, es sei nicht gehackt worden, nachdem der Dienst „Have I Been Pwned“ Benutzer über eine Sicherheitsverletzung benachrichtigt hat

Veröffentlicht: 2021-12-07

Gravatar stellt heute Fragen, nachdem „Have I Been Pwned“, ein Datensicherheitsprüfdienst, getwittert hat: „ Neue gekratzte Daten: Gravatar hatte im Oktober letzten Jahres 167 Millionen Profile über einen Aufzählungsvektor gekratzt. 114 Millionen der MD5-E-Mail-Adress-Hashes wurden anschließend geknackt und zusammen mit Namen und Benutzernamen verteilt. „ Es wird behauptet, dass 72 % dieser E-Mail-Adressen bereits beim Dienst angemeldet waren.

Der Tweet bezog sich auf einen BleepingComputer-Artikel vom Oktober 2020 mit dem Titel „Online-Avatar-Dienst Gravatar ermöglicht die Massenerfassung von Benutzerinformationen“, in dem erklärt wird, wie die Hashes ursprünglich erhalten wurden. Nachdem der italienische Sicherheitsforscher Carlo Di Dato keine Antwort von Gravatar erhalten konnte, demonstrierte er der Veröffentlichung, wie man auf Benutzerdaten zugreifen kann, indem man eine numerische ID verwendet, die jedem Profil zugeordnet ist, um sie abzurufen. Anschließend schrieb er ein Testskript, das Profil-URLs von ID 1 bis 5000 nacheinander besucht, und sagte, er könne ohne Probleme JSON-Daten der ersten 5000 Gravatar-Benutzer sammeln.

Viele Gravatar-Benutzer waren erschrocken und verärgert über Meldungen von Firefox Monitor und Have I Been Pwned heute Morgen, die besagten, dass ihre Informationen in einer neuen Datenschutzverletzung aufgetaucht seien.

Oh cmon, so ruiniere ich meinen Tag @gravatar pic.twitter.com/FsmxkL7zpq
– Lundy (@simplyeazy) 6. Dezember 2021

Der Artikel von BleepingComputer hat nach der heutigen Offenlegung von Have I Been Pwned mehr Aufmerksamkeit erregt und Gravatar dazu veranlasst, auf Twitter zu antworten:

Gravatar hilft Ihnen, Ihre Identität online mit einem authentifizierten Profil festzustellen. Wir sind uns der Online-Konversation bewusst, in der behauptet wird, Gravatar sei gehackt worden, daher möchten wir die Fehlinformationen aufklären.

Gravatar wurde nicht gehackt. Unser Service gibt Ihnen die Kontrolle über die Daten, die Sie online teilen möchten. Die Daten, die Sie öffentlich teilen möchten, werden über unsere API zur Verfügung gestellt. Benutzer können wählen, ob sie ihren vollständigen Namen, Anzeigenamen, Standort, E-Mail-Adresse und eine kurze Biografie teilen möchten.
Letztes Jahr kratzte ein Sicherheitsforscher öffentliche Gravatar-Daten – Benutzernamen und MD5-Hashes von E-Mail-Adressen, die verwendet wurden, um auf die Avatare von Benutzern zu verweisen, indem unsere API missbraucht wurde. Wir haben sofort die Möglichkeit gepatcht, die öffentlichen Profildaten massenhaft zu sammeln. Wenn Sie mehr über die Funktionsweise von Gravatar erfahren oder die in Ihrem Profil geteilten Daten anpassen möchten, besuchen Sie bitte Gravatar.com.

Gravatar wertet den Vorfall nicht als Datenschutzverletzung, weshalb der Dienst die vorgenommenen Änderungen gegenüber dem Sicherheitsforscher im Jahr 2020 nicht offengelegt hat.

Der Automattic-eigene Dienst wird auf WordPress-Websites, GitHub, Stackoverflow und anderen Orten im Internet verwendet. Sicherheitsforscher und Datenschützer warnen seit Jahren vor Datenschutzangriffen auf Gravatar. Viele haben demonstriert, wie leicht Benutzerinformationen verfügbar sind und wie einfach es ist, sie zu kratzen.

Jemand hat es kürzlich etwas größer gemacht. Es scheint nichts Neues auf der Welt zu geben. #gravatar https://t.co/5ZxyGYYBR0

– jasperwillem (@jasperwillem) 6. Dezember 2021

Im Juli 2013 sprach Dominique Bongard auf der Passwordscon in Las Vegas über die De-Anonymisierung von Mitgliedern französischer politischer Foren. Er erklärte, wie ein benutzerdefinierter Crawler geschrieben werden könnte, um MD5-Hashes für Forumbenutzer zu erhalten, und demonstrierte, dass ein Angriff mit benutzerdefinierter Crack-Software in der Lage war, 70 % der E-Mail-Adressen von Gravatar-Benutzern wiederherzustellen.

Bogard wies darauf hin, dass die De-Anonymisierung von Mitgliedern politischer Foren an Orten besonders gefährlich sein kann, an denen die Benutzer der Foren kein verfassungsmäßiges Recht auf freie Meinungsäußerung haben oder an denen die Teilnehmer wahrscheinlich belästigt oder angegriffen werden.

Wordfence veröffentlichte 2016 einen Ratgeber zu Gravatar, der sich auf Bongards Forschungen bezog, sowie auf frühere Arbeiten aus dem Jahr 2009, in denen ein Forscher bewies, dass er ~10 % der Gravatar-Hashes in E-Mail-Adressen zurückentwickeln konnte.

Der Gründer und CEO von Wordfence, Mark Maunder, erklärte, wie die Verwendung von E-Mail-Adress-Hashes dazu führen kann, dass Menschen den extrahierten Hash googeln, um andere Websites und Dienste zu finden, die eine Person verwendet.

„Zum Beispiel: Ein Benutzer mag es bequem haben, wenn sein vollständiger Name und sein Profilfoto auf einer Website zum Thema Skifahren erscheinen“, sagte Maunder. „Aber sie möchten vielleicht nicht, dass ihr Name oder ihre Identität auf einer Website, die auf eine Krankheit spezialisiert ist, der Öffentlichkeit zugänglich gemacht wird. Jemand, der diese Person recherchiert, könnte ihren Gravatar-Hash zusammen mit ihrem vollständigen Namen von der Ski-Website extrahieren. Sie könnten dann den Hash googeln und feststellen, dass die Person an einer Krankheit leidet, die sie geheim halten wollten.“

Viele Benutzer von Gravatar waren mit der Erklärung des Dienstes nicht zufrieden, dass alle von den Benutzern eingegebenen Informationen öffentlich seien, wodurch der Vorfall von der Kennzeichnung als Verstoß ausgeschlossen wurde. In derselben Erklärung behauptet der Dienst jedoch, dass die API missbraucht wurde, anstatt zuzugeben, dass sie anfällig war und besser hätte geschützt werden können.

Nachdem Forscher jahrelang gezeigt haben, dass dies möglich ist, ist das Scraping von Gravatar eine unethische Datenerfassung, weil der Scraper die Architektur des Dienstes missbraucht? Oder ist es unethisch, dass Gravatar es ermöglicht hat, Profildaten jahrelang massenhaft zu sammeln?

Das hört sich so an, als ob auf Ihre Daten auf eine Weise zugegriffen wurde, die Sie nicht beabsichtigt hatten (wenn es nur ein Wort dafür gäbe), aber das wollten Sie nicht?
– Christopher Foster (@CF99) 6. Dezember 2021

„Wenn jemand in der Lage ist, eine API für einen anderen als den beabsichtigten Zweck zu verwenden und Informationen zu sammeln, die sonst nicht mit ‚Standard‘-Mitteln verfügbar wären … ist dies ein Verstoß“, kommentierte der Twitter-Nutzer @RegGBlinker die Angelegenheit.

Gravatar möchte zweifellos den Schaden minimieren, der durch die heute Morgen an seine Benutzer verschickten Sicherheitsverletzungsmeldungen angerichtet wurde, aber es war nicht beruhigend, dies zu einem Problem der Semantik zu machen. Die meisten Benutzer hatten nicht die Absicht, ihre Gravatar-E-Mails mit jemandem zu teilen, der die Motivation hat, die Daten zu kratzen, die zum Sammeln offengelegt wurden. Selbst wenn diese Daten durch „Missbrauch“ ihrer API abgelegt wurden, fühlt es sich für diejenigen wie ein Verstoß an, die erwartet haben, dass Benutzerdaten nicht für die Verteilung an anderer Stelle verfügbar sein würden.

Der Vorfall erinnert daran, dass, wie Gravatar heute betonte, die Daten, die Benutzer öffentlich teilen, von der API des Dienstes verfügbar gemacht werden und nicht privat sind. Als Benutzer besteht das Risiko, den Komfort zu genießen, sein Profilfoto nicht mehrmals auf verschiedenen Websites hochladen zu müssen. Publisher, die möchten, dass ihre Websites eine datenschutzbewusstere Option bieten, sollten sich nach Alternativen wie lokalen Gravataren oder Pixel-Avataren umsehen.