Symbolbild von Taylor Vick via Unsplash.

Bei Gravatar handelt es sich um einen Dienst, bei dem ihr mittels eurer E-Mail-Adresse einen Account erstellen und diesen mit einem Profilbild verknüpfen könnt. Durch entsprechende Plugins kann Gravatar auf Plattformen wie GitHub, dem Chat-Dienst Slack, der Entwicklerplattform StackOverlow oder in der Projektmanagement-Software Redmine genutzt werden. Gleiches trifft durch die Verwendung von Third-Party-Module unter anderem auch auf Drupal zu. Seit dem Jahr 2007 gehört Gravatar zudem zum Unternehmen Automattic, zu dessen Produkten auch die Blog-Software WordPress gehört.

Kommentiert ihr nun zum Beispiel einen Beitrag bei den genannten Diensten, wird euer Gravatar-Bild diesem automatisch hinzugefügt, sodass über mehrere Plattformen hinweg der gleiche Avatar Verwendung findet.

Am gestrigen 6. Dezember wurde bekannt, dass Angreifer ein Datenleck bei Gravatar ausgenutzt und circa 164 Millionen Konten heruntergeladen haben sollen. Bei etwa 114 Millionen dieser Accounts wurden zudem die MD5-Hashes – eine kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert erzeugt – entschlüsselt und die originalen Daten anscheinend im Netz verbreitet. Zu den auf diese Weise entwendeten Daten gehören Nutzernamen, Klarnamen und E-Mail-Adressen.

Dass Gravatar unter Umständen ein Problem bekommen könnte, ist bereits seit über einem Jahr bekannt: Der Sicherheitsforscher Carlo Di Dato wies im Oktober 2020 darauf hin, dass mithilfe der sogenannten Scraping-Methode im großen Stil Daten beim Dienst abgegriffen werden können (siehe dazu auch diesen Artikel bei BleepingComputer). Zwar seien diese ohnehin öffentlich zugänglich, in der Masse können sie jedoch beispielsweise für Phishing-Angriffe eingesetzt werden. Via des Twitter-Accounts von Gravatar nahm das Unternehmen am gestrigen Montag wie folgt Stellung:

Wir sind uns der Diskussion im Internet bewusst, in der behauptet wird, Gravatar sei gehackt worden, und möchten daher die Fehlinformationen aufklären. Gravatar wurde nicht gehackt. Unser Dienst gibt Ihnen die Kontrolle über die Daten, die Sie online teilen möchten. Die Daten, die Sie öffentlich freigeben möchten, werden über unsere API zur Verfügung gestellt. Benutzer können wählen, ob sie ihren vollständigen Namen, ihren Anzeigenamen, ihren Standort, ihre E-Mail-Adresse und eine Kurzbiografie freigeben möchten. Letztes Jahr hat ein Sicherheitsforscher öffentliche Gravatar-Daten – Benutzernamen und MD5-Hashes von E-Mail-Adressen, die als Referenz für die Avatare der Benutzer verwendet werden – durch Missbrauch unserer API abgegriffen. Wir haben die Möglichkeit, die öffentlichen Profildaten massenweise zu sammeln, sofort mit einem Patch versehen.

Wenn ihr überprüfen möchtet, ob ihr vom Datenleck betroffen seid, könnt ihr Dienste wie Have I Been Pwnd nutzen.