Varias fuentes indican que hubo una filtración el 3 de octubre de 2020, y la gente está hablando de ello ahora.
No sé nada sobre este tipo de cosas, así como sobre los datos reales que se filtraron (se mencionan nombres y correos electrónicos, pero la gente dice que solo se filtraron datos públicos).
Me pregunto qué sucedió exactamente con esta filtración de datos de 2 años, si afecta a nuestros usuarios (considerando que Discourse usa Gravatar) y si se les debe informar al respecto.
Discourse usa gravatar solo para avatares. La brecha podría significar que las personas que tuvieron acceso a los datos filtrados podrían inferir cuál es la dirección de correo electrónico de Discourse de alguien.
Discourse no usa gravatar para la autenticación, por lo que no afecta a Discourse.
De \u003chttps://haveibeenpwned.com/PwnedWebsites#Gravatar\u003e
\u003e ### Gravatar
\u003e
\u003e En octubre de 2020, un investigador de seguridad publicó una técnica para raspar grandes volúmenes de datos de Gravatar, el servicio para proporcionar avatares únicos a nivel mundial. Posteriormente, se rasparon 167 millones de nombres, nombres de usuario y hashes MD5 de direcciones de correo electrónico utilizados para hacer referencia a los avatares de los usuarios y se distribuyeron en la comunidad de hackers. \u003cmark\u003eSe descifraron 114 millones de los hashes MD5\u003c/mark\u003e y se distribuyeron junto con el hash de origen, revelando así la dirección de correo electrónico original y los datos adjuntos.
\u003e
\u003e Fecha de la brecha: 3 de octubre de 2020
\u003e Fecha de adición a HIBP: 5 de diciembre de 2021
\u003e Cuentas comprometidas: 113.990.759
\u003e \u003cmark\u003eDatos comprometidos: Direcciones de correo electrónico, Nombres, Nombres de usuario\u003c/mark\u003e
Parece que tardó un año en descifrar la mayoría de los hashes MD5. Y no, no afectará a tus usuarios.
Entonces… si mi correo electrónico de gravatar se filtra, la gente podrá conectar trivialmente el correo electrónico que uso en Stack Overflow con gravatar.
El uso de Gravatar en Discourse es muy diferente, no enlazamos a gravatar, descargamos una copia del avatar y lo alojamos nosotros mismos. Incluso redimensionamos las imágenes nosotros mismos.
