Es wir ein wenig technisch und ich bin nicht überzeugt, dass ich alles verstanden habe – doch sollte es tatsächlich stimmen, haben wir wieder mal ein Sicherheitsleck im Netz. Es geht um Gravatar. Wenn ihr bei uns durch die Kommentare blättert, werden euch die kleinen User-Bildchen auffallen, die jeweils neben den Einträgen eingeblendet werden. Die Thumbnails zieht sich WordPress direkt von Gravater, wo sich die Nutzer jeweils vorher mit ihrer E-Mail-Adresse registriert haben. Das hat zum Beispiel den Vorteil, dass man das Bild – sollte es einem nicht mehr gefallen – auf Knopfdruck austauschen kann und es damit auf allen Plattformen automatisch übernommen wird.
Wie das funktioniert? Nach dem Anlegen des Gravatar-Kontos wird die Adresse nach dem Message-Digest-Algorithm 5 (kurz MD5) in einen Hash-Wert zerlegt. Um konkret zu werden: aus der Mail-Adresse „iHaveAn@email.com“ wird „3b3be63a4c2a439b013787725dfce802“. Gravatar selbst hält mit dieser Art der Codierung nicht hinter dem Berg und erläutert den Nutzern genauestens, was alles hinter den Kulissen passiert. Der Hash-Code wird dann an die URL „http://www.gravatar.com/avatar/“ angehängt und schwuppdiwupp – da ist das Bild.
Nun lässt sich alles Codierte auch irgendwie recodieren. Ein einfaches Script würde ausreichen, um Hunderttausende von MD5-Hashs im Internet einzusammeln, wird auf Developer.IT gewarnt. Mit einer Brute-Force-Attacke könnten die neben den Kommentaren stets sichtbaren Nutzernamen mit verschiedenen Endungen von Mail-Adressen (@gmail.com, @gmx.net usw.) ausprobiert werden. „Ich habe mit meinem Programm aus einer Liste von 80.871 Usern 8.597 funktionierende E-Mail-Adressen ziehen können. Das bedeutet, dass bei rund zehn Prozent der Nutzer der Username und die Gravatar-URL völlig ausreichen, um die E-Mail-Adresse abzuleiten, die sie bei der Registrierung angaben.“
Warum jemand an die Mailadressen von Kommentierenden möchte? Nun, natürlich könnte damit der Datenbestand für Spam-Opfer aufgestockt werden. Zudem wird dadurch die Anonymität in den Kommentaren aufgehoben: Es gibt da jemand, der sie zuspammt? Der gemein ist oder einfach nur nervt? Hier ist seine E-Mail-Adresse!
Gravatar hat auf die Vorwürfe bislang noch nicht reagiert, der letzte Eintrag im offiziellen Blog datiert auf den 21. August.
(André Vatter)
