114 miljoen bij Gravatar gescrapete e-mailadressen toegevoegd aan HIBP

[Captain Kirk]

Datalekzoekmachine Have I Been Pwned heeft vandaag tientallen miljoenen mensen gewaarschuwd dat het e-mailadres van hun Gravatar-account gecompromitteerd is. Gravatar is een dienst voor het aanmaken van een avatar dat op meerdere platformen is te gebruiken. Gebruikers kunnen via hun e-mailadres een account aanmaken en een avatar aan het account koppelen.

Door middel van verschillende plug-ins is het vervolgens mogelijk om deze avatar te laden, bijvoorbeeld wanneer gebruikers reageren op blogpostings waarbij een e-mailadres is vereist. De blogsoftware controleert of het opgegeven e-mailadres is gekoppeld aan een Gravatar-avatar en zal die bij de gegeven reactie plaatsen.

Vorig jaar liet een onderzoeker zien hoe het mogelijk is om gegevens van Gravatar-accounts te scrapen. Op deze manier werden namen, gebruikersnamen en md5-hashes van e-mailadressen die aan 167 miljoen Gravatar-accounts zijn gekoppeld verzameld. Vervolgens werden 114 miljoen van de md5-hashes gekraakt en vervolgens verspreid.

De e-mailadressen zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 114 miljoen gescrapete e-mailadressen was 72 procent al via een ander datalek bij Have I Been Pwned bekend.

 

bron: https://www.security.nl