Несколько источников сообщают, что утечка данных произошла 3 октября 2020 года, и люди сейчас активно об этом говорят.
Я не разбираюсь в таких вещах, как и в деталях самой утечки (упоминаются имена и адреса электронной почты, но люди говорят, что были скомпрометированы только публичные данные).
Интересно, что именно произошло с этой утечкой данных двухлетней давности, затрагивает ли она наших пользователей (учитывая, что Discourse использует Gravatar) и следует ли их об этом уведомить.
Discourse использует Gravatar только для аватаров. Утечка данных может означать, что лица, получившие доступ к скомпрометированным данным, могли определить адрес электронной почты пользователя в Discourse.
Discourse не использует Gravatar для аутентификации, поэтому утечка не влияет на работу Discourse.
Дата утечки: 3 октября 2020 года Дата добавления в HIBP: 5 декабря 2021 года Скомпрометированные аккаунты: 113 990 759 Скомпрометированные данные: Адреса электронной почты, имена, имена пользователей
Похоже, на взлом большинства MD5-хешей ушёл год. И нет, это не затронет ваших пользователей.
Таким образом… если моя почта, привязанная к Gravatar, будет скомпрометирована, люди смогут без труда связать адрес, который я использую на Stack Overflow, с Gravatar.
Использование Gravatar в Discourse сильно отличается: мы не делаем прямые ссылки на Gravatar, а скачиваем копию аватара и размещаем её самостоятельно. Мы даже изменяем размер изображений сами.
