HaveIbeenPwned warnt davor, dass Unbekannte bei Gravatar über 114 Millionen Datensätze erbeutet und im Darknet veröffentlicht hätten.
Bildquelle: Piter2121
Gravatar, ein Dienst zur Erstellung von Avataren, die mit Online-Konten verknüpft werden können, steht im Mittelpunkt einer Warnung von HaveIbeenPwned. Die Sicherheitsplattform machte Benutzer, die sich für die Überwachung von Passwortverletzungen über ihren Dienst angemeldet haben, aktuell auf ein groß angelegtes Datenleck aufmerksam.
New scraped data: Gravatar had 167M profiles scraped in Oct last year via an enumeration vector. 114M of the MD5 email address hashes were subsequently cracked and distributed alongside names and usernames. 72% were already in @haveibeenpwned. Read more: Online avatar service Gravatar allows mass collection of user info
www.bleepingcomputer.com5.12.2021, 23:02:05 via Twitter powered by
Gravatar-User können durch die Eingabe der eigenen E-Mail-Adresse bei HaveIbeenpwned.com überprüfen, ob sie selbst von dem Datenleck betroffen sind. Eine Passwort-Änderung, sowohl hier, als auch bei der Verwendung gleicher Passwörter in anderen Diensten, ist in einem solchen Fall dringend angeraten.
Tarnkappe.info
Du musst angemeldet sein, um Bilder zu sehen.
Bildquelle: Piter2121
Gravatar, ein Dienst zur Erstellung von Avataren, die mit Online-Konten verknüpft werden können, steht im Mittelpunkt einer Warnung von HaveIbeenPwned. Die Sicherheitsplattform machte Benutzer, die sich für die Überwachung von Passwortverletzungen über ihren Dienst angemeldet haben, aktuell auf ein groß angelegtes Datenleck aufmerksam.
Massencrawling bei Gravatar bereits im Oktober 2020 bekannt
Bereits im Oktober 2020 unterrichtete Sicherheitsforscher Carlo Di Dato BleepingComputer darüber, wie Gravatar von Webcrawlern und Bots für die Massendatenerfassung seiner Profile missbraucht werden kann. In darauf folgenden Tests konnte BleepingComputer dies bestätigen. Sie stellten fest, dass bestimmte Benutzerprofile auch mehr öffentliche Daten, wie E-Mails, Namen und Benutzernamen enthielten als andere. Diese beinhalteten obendrein Bitcoin-Wallet-Adressen, Telefonnummern, Standort usw. Diese Daten konnten bequem per JSON heruntergeladen werden.
Du musst angemeldet sein, um Bilder zu sehen.
Have I Been Pwned@haveibeenpwnedNew scraped data: Gravatar had 167M profiles scraped in Oct last year via an enumeration vector. 114M of the MD5 email address hashes were subsequently cracked and distributed alongside names and usernames. 72% were already in @haveibeenpwned. Read more: Online avatar service Gravatar allows mass collection of user info
Du musst angemeldet sein, um Bilder zu sehen.
Online avatar service Gravatar allows mass collection of user info
A user enumeration method discovered by an Italian security researcher Carlo Di Dato demonstrates how can Gravatar…www.bleepingcomputer.com5.12.2021, 23:02:05 via Twitter powered by
Unbekannte nutzten Ansatz zu Datenextraktion
Genau die Situation, vor der Carlo Di Dato damals schon gewarnt hatte, ist nun offensichtlich tatsächlich eingetreten. Gemäß HaveIBeenPwnd haben sich Unbekannte Zugriff auf E-Mail-Adressen, Nutzernamen und MD5-Hashes, verschlüsselte Datenpakete, von 164 Millionen Gravatar-Konten verschaffen können. 114 Millionen dieser Daten liegen bereits entschlüsselt vor und wären in Darknet-Hackerforen abrufbar. HaveIBeenPwnd teilt mit, dass die entsprechende Datenbank E-Mail-Adressen, Namen und Nutzernamen umfasse.Gravatar-User können durch die Eingabe der eigenen E-Mail-Adresse bei HaveIbeenpwned.com überprüfen, ob sie selbst von dem Datenleck betroffen sind. Eine Passwort-Änderung, sowohl hier, als auch bei der Verwendung gleicher Passwörter in anderen Diensten, ist in einem solchen Fall dringend angeraten.
Tarnkappe.info
