Diverse fonti affermano che c’è stata una violazione dei dati il 3 ottobre 2020, e se ne sta parlando solo ora.
Non so nulla di questo tipo di cose, né dei dati effettivi che sono stati trapelati (vengono menzionati nomi ed email, ma la gente dice che sono stati trapelati solo dati pubblici).
Mi chiedo cosa sia successo esattamente con questa fuga di dati di 2 anni, se influisce sui nostri utenti (considerando che Discourse utilizza Gravatar) e se dovrebbero esserne informati.
Discourse utilizza gravatar solo per gli avatar. La violazione potrebbe significare che le persone che hanno avuto accesso ai dati violati potrebbero dedurre quale sia l’indirizzo email di qualcuno su Discourse.
Discourse non utilizza gravatar per l’autenticazione, quindi non influisce su Discourse.
Da \u003chttps://haveibeenpwned.com/PwnedWebsites#Gravatar\u003e
\u003e ### Gravatar
\u003e
\u003e Nell’ottobre 2020, un ricercatore di sicurezza ha pubblicato una tecnica per raccogliere grandi quantità di dati da Gravatar, il servizio per la fornitura di avatar univoci a livello globale. 167 milioni di nomi, nomi utente e hash MD5 degli indirizzi email utilizzati per fare riferimento agli avatar degli utenti sono stati successivamente raccolti e distribuiti all’interno della comunità di hacker. \u003cmark\u003e114 milioni di hash MD5 sono stati decifrati\u003c/mark\u003e e distribuiti insieme all’hash sorgente, rivelando così l’indirizzo email originale e i dati associati.
\u003e
\u003e Data della violazione: 3 ottobre 2020
\u003e Data di aggiunta a HIBP: 5 dicembre 2021
\u003e Account compromessi: 113.990.759
\u003e \u003cmark\u003eDati compromessi: Indirizzi email, Nomi, Nomi utente\u003c/mark\u003e
Sembra che ci sia voluto un anno per decifrare la maggior parte degli hash MD5. E no, non influenzerà i tuoi utenti.
Quindi… se la mia email di gravatar trapela, le persone potranno collegare facilmente l’email che uso su Stack Overflow con gravatar.
L’uso di Gravatar su Discourse è molto diverso, non effettuiamo hotlink a gravatar, scarichiamo una copia dell’avatar e la ospitiamo noi stessi. Ridimensioniamo persino le immagini da soli.
