Fuite de données Gravatar et Discourse : nos utilisateurs devraient-ils s'inquiéter ?

Communauté
1

Plusieurs sources indiquent qu’il y a eu une fuite le 3 octobre 2020, et que les gens n’en parlent que maintenant.

Je ne sais rien de ce genre de choses, ni des données qui ont été divulguées (des noms et des e-mails sont mentionnés, mais les gens disent que seules des données publiques ont été divulguées).

Je me demande ce qui s’est passé exactement avec cette fuite de données vieille de 2 ans, si elle affecte nos utilisateurs (sachant que Discourse utilise Gravatar) et s’ils devraient en être informés.

J’apprécierais toute information :slight_smile:

3 « J'aime »
2

Discourse utilise gravatar uniquement pour les avatars. La violation pourrait signifier que les personnes ayant eu accès aux données compromises pourraient déduire quelle est l’adresse e-mail de quelqu’un sur Discourse.

Discourse n’utilise pas gravatar pour l’authentification, donc cela n’affecte pas Discourse.

4 « J'aime »
3

From https://haveibeenpwned.com/PwnedWebsites#Gravatar

Gravatar

En octobre 2020, un chercheur en sécurité a publié une technique pour extraire de grandes quantités de données de Gravatar, le service de fourniture d’avatars uniques au niveau mondial. 167 millions de noms, de noms d’utilisateur et de hachages MD5 d’adresses e-mail utilisés pour référencer les avatars des utilisateurs ont ensuite été extraits et distribués au sein de la communauté des pirates. 114 millions de hachages MD5 ont été décryptés et distribués avec le hachage source, révélant ainsi l’adresse e-mail d’origine et les données associées.

Date de la violation : 3 octobre 2020
Date d’ajout à HIBP : 5 décembre 2021
Comptes compromis : 113 990 759

Données compromises : Adresses e-mail, Noms, Noms d’utilisateur

Il semble qu’il ait fallu un an pour décrypter la plupart des hachages MD5. Et non, cela n’affectera pas vos utilisateurs.

6 « J'aime »
4

Il convient de noter comment nous utilisons exactement Gravatar.

Des sites tels que Stack Overflow, font du hotlinking vers Gravatar :

image
image1475×1048 137 KB

Donc… si mon e-mail Gravatar fuit, les gens pourront trivialement relier l’e-mail que j’utilise sur Stack Overflow à Gravatar.

L’utilisation de Gravatar sur Discourse est très différente, nous ne faisons pas de hotlinking vers Gravatar, nous téléchargeons une copie de l’avatar et l’hébergeons nous-mêmes. Nous redimensionnons même les images nous-mêmes.

image
image1519×1453 283 KB

11 « J'aime »