114 miljoen bij Gravatar gescrapete e-mailadressen toegevoegd aan HIBP
Datalekzoekmachine Have I Been Pwned heeft vandaag tientallen miljoenen mensen gewaarschuwd dat het e-mailadres van hun Gravatar-account gecompromitteerd is. Gravatar is een dienst voor het aanmaken van een avatar dat op meerdere platformen is te gebruiken. Gebruikers kunnen via hun e-mailadres een account aanmaken en een avatar aan het account koppelen.
Door middel van verschillende plug-ins is het vervolgens mogelijk om deze avatar te laden, bijvoorbeeld wanneer gebruikers reageren op blogpostings waarbij een e-mailadres is vereist. De blogsoftware controleert of het opgegeven e-mailadres is gekoppeld aan een Gravatar-avatar en zal die bij de gegeven reactie plaatsen.
Vorig jaar liet een onderzoeker zien hoe het mogelijk is om gegevens van Gravatar-accounts te scrapen. Op deze manier werden namen, gebruikersnamen en md5-hashes van e-mailadressen die aan 167 miljoen Gravatar-accounts zijn gekoppeld verzameld. Vervolgens werden 114 miljoen van de md5-hashes gekraakt en vervolgens verspreid.
De e-mailadressen zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 114 miljoen gescrapete e-mailadressen was 72 procent al via een ander datalek bij Have I Been Pwned bekend.
Dat dacht ik ook al: Zo onderhand moet toch van iedereen wel iets gelekt zijn (en zo mogelijk ook toegevoegd aan de HIBP database)
Ik denk dat de bron van het probleem aangepakt moet worden:
Niet alles willen registreren van je gebruikers of klanten. Wat je niet hebt, kan ook niet lekken.
Maar hoe ga je de datagraaiers hiertoe bewegen? Forse boetes (standaard 10-33% van de wereldwijde bruto omzet oid), wetgeving, ???
Kan het ook automatisch aangemaakt zijn als je ergens anders een account maakt en dat er dan een koppeling komt tussen beide websites?
Als er al een login+passwrd in zou staan handen we dat gemerkt.
Bij Gravater heb je dan ooit een keer een account aangemaakt, voor een site of zo.
Dat wordt niet gekoppeld omdat jij je ergens anders aangemeld heb.
Gravatar is geïntegreerd op miljoenen sites en is een gratis service voor site-eigenaren, -ontwikkelaars en iedereen die een moeiteloze en geverifieerde manier wil hebben om hun online identiteit te creëren.
Gravatar is sinds 2007 een project van Automattic. Gravatar is geïntegreerd in elk WordPress.com-account en is geïmplementeerd om een open web tot stand te brengen.
Dus wellicht is WordPress ook gehackt????
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
