Gravatar: Nutzernamen und Mail-Adressen von 114 Millionen Nutzern im Netz

Sofern ihr bei have i been pwned angemeldet seid und in der Vergangenheit mal das Web-Tool Gravatar für einen Avatar auf Webseiten und Blogs im Einsatz hattet, dann solltet ihr Mail bekommen haben. Im Oktober 2020 veröffentlichte ein Sicherheitsforscher eine Technik zum Abgreifen großer Datenmengen von Gravatar. 167 Millionen Namen, Nutzernamen und MD5-Hashes von E-Mail-Adressen, die als Referenz für die Avatare von Nutzern verwendet werden, wurden daraufhin abgegriffen und in der Hacker-Community verbreitet. 114 Millionen der MD5-Hashes wurden geknackt und zusammen mit dem Quell-Hash verbreitet, wodurch die ursprüngliche E-Mail-Adresse und die zugehörigen Daten offengelegt wurden. Sprich: Nutzername, Name und E-Mail-Adresse sind in den Händen irgendwelcher Leute.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

28 Kommentare

  1. Geil! Wie immer. Finde ich bei Gravatar zwar etwas weniger schlimm, aber grundsätzlich sollten sie alle einfach Strafen erhalten, die wehtun für solche Sachen.

    Bin es so unendlich leid.

    Egal wo du dich anmeldest, sie alle wollen Daten ohne Ende sammeln, schützen sie aber nicht korrekt oder vernachlässigen es. Da würde ich mir wünschen, dass es einfach pauschal sofort und direkt eine Strafe gibt in Bezug auf die DSGVO, die wehtut. Egal wo die sitzen, wenn Deutsche sich anmelden können – Strafe zahlen.

    Vielleicht hören sie dann mal auf Daten zu sammeln. Inzwischen brauchst du für gefühlt jede App ja schon ein extra Account und sollst da brav alles angeben, was keinen was angeht.

    • +1
      (Hab eine entsprechende Warnung von Firefox Monitor bekommen, konnte mit dem Namen Gravatar aber mal so gar nix anfangen…)

      • Geht mir genauso. Weiß gar nicht, wie ich mich jetzt verhlaten soll. Kenne weder Gravatar noch WordPress oder sonstiges.

  2. Echt ätzend, dass kaum einer in der Lage ist Benutzerdaten so zu behandeln, dass sie nicht irgendwann in einem Datenleak oder Hack oder sonst wie im Netz auftauchen. Die Strafen für den leichtfertigen Umgang mit Benutzerdaten müssten viel viel höher sein, damit die Firmen mal ein größeres Interesse daran hätten, diese auch besonders zu schützen.

  3. Hi, habe dieses Nachricht auch erhalten, kenne Gravtar jedoch gar nicht, wüsste nicht wie die an meine email Adresse kommen.

  4. Ich hab auch eine Mail von HaveIBennPwned bekommen und war erst verwirrt, weil zu Gravatar kein Passwort in meinem Passwortmanager auftauchte. Des Rätsels Lösung: Bei denen ist das LoginSystem von wordpress.com eingebaut und damit habe ich den Dienst scheinbar mal genutzt. Ich habe jetzt also sicherheitshalber mal mein WordPress.com Passwort geändert.

  5. 2021 und die verwenden MD5-Hashes. Wahrscheinlich sogar ohne Salt wie die letzten Anfänger. Das ist einfach nur grob fahrlässig. -_-

    • Es bezieht sich auf die Email, was das Funktionsprinzip letztlich ausmacht – nicht das Kennwort. Steht sogar so im Artikel.

    • MD5 Hashes zu verwenden, ist an und für sich nicht schlimm.
      In diesem Falle wurden sie genutzt um E-Mails zu hashen und nicht für das Passwort.

      Bei Passwörtern wäre es bekanntlich grob fahrlässig. Aber MD5 in anderem Kontext ist nicht unbedingt schlecht, als Beispiel: Um Konformität anhand einer Checksum zu checken wird auch MD5 verwendet.

    • Ich interessiere mich für das Thema sehr. Kannst du mir bitte erklären, wie das mit den Email Adressen laufen würde? Ich gehe ja mal davon aus, dass die den Md5 Hash gespeichert haben, damit man an deren API nicht fragt: gib mir mal das Avatar für diese Email-Adresse, sondern, gib mir mal das Avatar für diesen Hash. Klar, wäre noch besser gewesen, sie hätten diesen Hash dann noch einmal mit einem einheitlichen Salt in die DB gelegt, damit bei Datenverlust ein Rückschluss vom Hash auf bekannte Email Adressen nicht möglich gewesen wäre, es wäre noch besser gewesen, sie hätten nicht Md5 verwendet, aber vielleicht meinst du ja noch etwas anderes?

  6. Ich bin betroffen, mit meiner eigentlich geheimen E-Mail-Adresse, die ich nur für ein eigenes WordPress nutze.
    Das nervt doch. 🙁 Nichts ist mehr sicher.

    • Und nichts ist mehr geheim 🙂

    • Standardmässig sind in jedem WordPress unter Einstellungen > Diskussion die Avatare aktiv, und damit wird dann bei den meisten Themes im Frontend bei Autorhinweisen unter einem Blogpost o.ä. eine gravatar.com Bild URL mit u.a. md5(DeineGeheimeEmail) eingefügt. Diese URLs kann man scrapen und reversen.

  7. Wieder ein Grund mehr für 1Password (oder Bitwarden) und Fastmail (oder AnonAddy oder Simplelogin oder einen alten Yahoo-Account).

    • Was genau helfen die in diesem Fall? Es ist ja gar keine Kombination aus Email und Passwort gestohlenen worden, bloß Email-Adressen. Das perfide ist, dass die Nutzer von Gravatar ja nur etwa davon hatten, wenn sie diese Email Adresse auch wo anders benutzt haben…

  8. … und im RSS-Feed zu diesem Beitrag ist als Bild ein Fire TV Cube 🙂 dachte schon Amazon Accounts wären geleaked^^

  9. Ich habe nen Gravatar Account und meine Email-addresse wurde nicht gepwned (gerade nochmal geprüft).
    Gibt es Leute die nicht betroffen sind weil nicht alle Hashes geknackt wurden?
    Irgendwie seltsam.

  10. Endlich eine neue Datenliste für die seit Jahr und Tag bestehende Gravatar reverse Funktion bei https://wordpressexpose.chrisgherbert.com/

  11. Nach härteren Strafen zu schreien ist immer einfach, aber gerade hier glaubt doch keiner daran, dass es möglich ist, dass irgend ein Anbieter in der Lage ist, die Daten zu 100% sicher zu schützen – oder etwas doch?

  12. für jeden Dienst eine eigene E-Mail Adresse. Ist die kompromittiert , weg damit. Mein „Haupt-Adresse“ gebe ich seit einigen Monaten nicht mehr bei „solchen“ Diensten an. Als Apple User nutze ich dazu den Apple Dienst E-Mail verbergen. Gibt es so etwas evtl. auch für Windows? Für „wichtige“ Adressen (z.B. feste OnlineHändler)nutze ich fest eingerichtete Mail Alias.

    • Gravatar basiert aber auf dem Prinzip dass du die gleiche E-Mail-Adresse bei mehreren Diensten verwendest. Sonst könnten die dein Bild nicht zuordnen.

  13. Man muss dazu anmerken, dass die gescrapten Daten sowieso öffentlich sind. Diese Daten sind über unsere öffentlichen Profile einsehbar, solange wir das nicht einschränken. Der „Hack“, der dort passiert ist, war der, dass einfach sehr viele Daten über die ebenfalls öffentliche API abgefragt wurden. Damit man nicht so viele Daten am Stück holen kann, wurde zumindest die API jetzt beschränkt. Die „geklauten“ Daten werden aber weiterhin öffentlich auf unseren Profilen sichtbar sein, solange wir da keine Einstellungen ändern.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.