Gravatar-Leck: Daten von 113 Millionen E-Mail-Konten im Netz veröffentlicht

Angreifer könnten mit wenig Aufwand Nutzerdaten im großen Stil bei dem mit Wordpress und Slack verbundenen Onlinedienst Gravatar abgreifen, warnte ein Experte vor gut einem Jahr. Nun ist genau das geschehen.

Computerkriminalität (Symbolbild): Daten von zig Millionen Nutzerinnen und Nutzern im Netz verfügbar

Foto: Michael Weber / IMAGO

Für viele Menschen hat die Woche mit einer Warnung begonnen: »You've been pwned«, heißt es in E-Mails, die am Vormittag von den Betreibern des Dienstes Have I Been Pwnd an etliche Abonnentinnen und Abonnenten ihres Dienstes verschickt worden sind. Das jeweilige E-Mail-Konto, an das die Warnung geschickt wurde, sei von einem Datenleck bei Gravatar  betroffen – so wie 113.990.759 andere Konten auch.

Bei manchen Adressaten mag das für Verwirrung gesorgt haben. Gravatar ist ein Dienst, der es ermöglicht, Profilbilder auf verschiedenen Webseiten zu nutzen. Doch auch wenn Gravatar Daten von Millionen Nutzern verwaltet, muss man das Unternehmen nicht unbedingt bewusst wahrgenommen haben. Die Firma gehört zum Konzern Automattic, dessen bekanntestes Produkt die Blogging-Software Wordpress sein dürfte, in die Gravatar integriert ist. Zudem gibt Gravatar unter anderem das Programmiererportal GitHub und den Chat-Dienst Slack als Kunden an.

Wer sich also auf einer dieser Seiten oder auf einer mit Wordpress erstellten Seite, auf der das Feature aktiviert wurde, einen Account samt Profilbild angelegt hat, könnte von dem Datenleck betroffen sein.

Warnung im Oktober 2020

Der Vorfall geht laut Have I Been Pwnd  auf eine Technik zurück, die der Sicherheitsexperte Carlo Di Dato vor mehr als einem Jahr demonstriert hatte. Wie das Onlinemagazin »Bleepingcomputer«  damals berichtete, hatte er herausgefunden, dass man mit einer sogenannten Scraping-Methode im großen Stil Daten von Gravatar abgreifen kann. Dabei handelt es sich um grundsätzlich öffentlich zugängliche Daten. Das IT-Sicherheitsunternehmen G Data warnt allerdings, dass massenhaft akkumulierte Nutzerdaten, wie in diesem Fall, von Cyberkriminellen für Phishing-Angriffe und Betrugsversuche  genutzt werden können.

Beim Überprüfen der von Di Dato geschilderten Methode hatte »Bleepingcomputer« festgestellt, dass manche Datensätze auch Informationen über Bitcoin-Wallets, Telefonnummern und Ortsdaten der jeweiligen Nutzer enthielten. Die Redakteure hatten seinerzeit gewarnt: »Dies ist problematisch, da jeder Web-Crawler oder -Bot nun praktisch die gesamte Gravatar-Datenbank abfragen und dank dieser wenig bekannten, aber effektiven Technik sehr leicht öffentliche Benutzerdaten abgreifen kann.«

Warnungen im Abo

Genau das ist nun offenbar geschehen. Laut Have I Been Pwnd  haben Unbekannte die E-Mail-Adressen, Nutzernamen und sogenannte MD5-Hashes – verschlüsselte Datenpakete – von 164 Millionen Gravatar-Konten herunterladen können. Von 114 Millionen dieser Datensätze seien diese MD5-Hashes entschlüsselt und zusammen mit den Originaldaten online verbreitet worden. Der Dienst Have I Been Pwnd  gibt an, die entsprechende Datenbank umfasse E-Mail-Adressen, Namen und Nutzernamen.

Dienste wie Have I Been Pwnd  und der Identity-Leak-Checker  des Potsdamer Hasso-Plattner-Instituts geben Auskunft darüber, in welchen bekannten Datenleaks man mit seinen Log-in-Daten bereits auftaucht. Während man bei beiden aktiv nachforschen kann, ob bestimmte Mail-Adressen in Datenlecks auftauchen, gibt es bei dem US-Angebot auch die Möglichkeit, sich aktiv informieren zu lassen, sobald eine der persönlichen Adressen in einem neuen Leck auftaucht.

mak