Mehrere Quellen besagen, dass es am 3. Oktober 2020 einen Leak gab, über den jetzt erst gesprochen wird.
Ich weiß nichts über solche Dinge, ebenso wenig wie über die tatsächlich geleakten Daten (Namen und E-Mails werden erwähnt, aber Leute sagen, dass nur öffentliche Daten geleakt wurden).
Ich frage mich, was genau mit diesem 2 Jahre alten Datenleck passiert ist, ob es unsere Nutzer betrifft (da Discourse Gravatar verwendet) und ob sie darüber informiert werden sollten.
Discourse verwendet Gravatar nur für Avatare. Der Verstoß könnte bedeuten, dass Personen, die Zugriff auf die kompromittierten Daten hatten, auf die E-Mail-Adresse einer Person bei Discourse schließen könnten.
Discourse verwendet Gravatar nicht zur Authentifizierung, daher hat dies keine Auswirkungen auf Discourse.
Von \u003chttps://haveibeenpwned.com/PwnedWebsites#Gravatar\u003e
\u003e ### Gravatar
\u003e
\u003e Im Oktober 2020 veröffentlichte ein Sicherheitsforscher eine Technik zum Scraping großer Datenmengen von Gravatar, dem Dienst zur Bereitstellung global eindeutiger Avatare. 167 Millionen Namen, Benutzernamen und MD5-Hashes von E-Mail-Adressen, die zur Referenzierung von Benutzeravataren verwendet wurden, wurden anschließend gescrapt und in der Hacker-Community verteilt. \u003cmark\u003e114 Millionen der MD5-Hashes wurden geknackt\u003c/mark\u003e und zusammen mit dem Quell-Hash verteilt, wodurch die ursprüngliche E-Mail-Adresse und die begleitenden Daten offengelegt wurden.
\u003e
\u003e Datum des Verstoßes: 3. Oktober 2020
\u003e Datum der HIBP-Hinzufügung: 5. Dezember 2021
\u003e Kompromittierte Konten: 113.990.759
\u003e \u003cmark\u003eKompromittierte Daten: E-Mail-Adressen, Namen, Benutzernamen\u003c/mark\u003e
Es scheint, dass es ein Jahr gedauert hat, die meisten MD5-Hashes zu knacken. Und nein, es wird Ihre Benutzer nicht betreffen.
Wenn also meine Gravatar-E-Mail durchsickert, können die Leute die E-Mail, die ich bei Stack Overflow verwende, problemlos mit Gravatar verknüpfen.
Die Verwendung von Gravatar bei Discourse ist ganz anders, wir verlinken nicht zu Gravatar, wir laden eine Kopie des Avatars herunter und hosten sie selbst. Wir passen sogar die Bilder selbst an.
