Es wir ein wenig technisch und ich bin nicht überzeugt, dass ich alles verstanden habe – doch sollte es tatsächlich stimmen, haben wir wieder mal ein Sicherheitsleck im Netz. Es geht um Gravatar. Wenn ihr bei uns durch die Kommentare blättert, werden euch die kleinen User-Bildchen auffallen, die jeweils neben den Einträgen eingeblendet werden. Die Thumbnails zieht sich WordPress direkt von Gravater, wo sich die Nutzer jeweils vorher mit ihrer E-Mail-Adresse registriert haben. Das hat zum Beispiel den Vorteil, dass man das Bild – sollte es einem nicht mehr gefallen – auf Knopfdruck austauschen kann und es damit auf allen Plattformen automatisch übernommen wird.
Wie das funktioniert? Nach dem Anlegen des Gravatar-Kontos wird die Adresse nach dem Message-Digest-Algorithm 5 (kurz MD5) in einen Hash-Wert zerlegt. Um konkret zu werden: aus der Mail-Adresse „iHaveAn@email.com“ wird „3b3be63a4c2a439b013787725dfce802“. Gravatar selbst hält mit dieser Art der Codierung nicht hinter dem Berg und erläutert den Nutzern genauestens, was alles hinter den Kulissen passiert. Der Hash-Code wird dann an die URL „http://www.gravatar.com/avatar/“ angehängt und schwuppdiwupp – da ist das Bild.
Nun lässt sich alles Codierte auch irgendwie recodieren. Ein einfaches Script würde ausreichen, um Hunderttausende von MD5-Hashs im Internet einzusammeln, wird auf Developer.IT gewarnt. Mit einer Brute-Force-Attacke könnten die neben den Kommentaren stets sichtbaren Nutzernamen mit verschiedenen Endungen von Mail-Adressen (@gmail.com, @gmx.net usw.) ausprobiert werden. „Ich habe mit meinem Programm aus einer Liste von 80.871 Usern 8.597 funktionierende E-Mail-Adressen ziehen können. Das bedeutet, dass bei rund zehn Prozent der Nutzer der Username und die Gravatar-URL völlig ausreichen, um die E-Mail-Adresse abzuleiten, die sie bei der Registrierung angaben.“
Du willst nicht abgehängt werden, wenn es um KI, Green Tech und die Tech-Themen von Morgen geht? Über 10.000 Vordenker bekommen jeden Tag die wichtigsten News direkt in die Inbox und sichern sich ihren Vorsprung.
Nur für kurze Zeit: Anmelden und mit etwas Glück Beats Studio Buds gewinnen!
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung. Beim Gewinnspiel gelten die AGB.
Warum jemand an die Mailadressen von Kommentierenden möchte? Nun, natürlich könnte damit der Datenbestand für Spam-Opfer aufgestockt werden. Zudem wird dadurch die Anonymität in den Kommentaren aufgehoben: Es gibt da jemand, der sie zuspammt? Der gemein ist oder einfach nur nervt? Hier ist seine E-Mail-Adresse!
Gravatar hat auf die Vorwürfe bislang noch nicht reagiert, der letzte Eintrag im offiziellen Blog datiert auf den 21. August.
(André Vatter)
