Mit dem Webservice Gravatar kann man personalisierte Avatare erstellen und plattformübergreifend nutzen. Diese Woche ist Gravatar jedoch Opfer eines Hacks geworden. Fast 114 Millionen Nutzerdaten wurden im Darknet veröffentlicht.
Ob Sie von dem Datenleak betroffen sind und was Sie in dem Fall tun können, erfahren Sie hier.
Unser Beitrag über den Gravatar-Datenleck im Überblick:
Was ist Gravatar?
Gravatar ist ein Webservice von WordPress-Mutterkonzern Automattic. Mit dem Tool können Sie einzigartige Avatare erstellen und mit Ihrer E-Mail-Adresse verknüpfen. Solche „Globally Recognized Avatars“ sind nach dem Eins-für-alle-Prinzip auf verschiedenen Websites, in Foren, Blogs und Webplattformen nutzbar. Vor allem ist Gravatar dabei für seine WordPress-Integration bekannt geworden. Zu den eingebundenen Diensten gehören aber unter anderem auch das Programmiererportal Github und die Kollaborationsplattform Slack.
Da Gravatar mit Ihrer E-Mail-Adresse verknüpft ist, reicht es auf vielen Seiten aus, dass Sie nur diese angeben und Ihr Avatar trotzdem eingebunden ist. Sie müssen sich also nicht für einen einzigen Kommentar bei einem Blog oder Forum registrieren und dann irgendwo anmelden. Normalerweise müssen Sie den Kommentar nur mit einem Mausklick in Ihrem E-Mail-Postfach verifizieren.
Ein Gravatar ist ein individuell erstellter und einmaliger Avatar, den Sie plattformübergreifend teilen können. Bild: Pexels/DanielXavier
Gravatar-Nutzerdaten geleaked
Leider macht Gravatar aber auch immer wieder negative Schlagzeilen. Anfang Dezember 2021 wurde so über den Webservice berichtet, weil fast 114 Millionen (genau: 113.990.759) entschlüsselte Nutzerdatensätzen aus Klarnamen, Nutzernamen und E-Mail-Adressen im Darknet aufgetaucht sind. Genutzt werden die Datensätze vermutlich vor allem für Phishing- und Spear-Phishing-Angriffswellen. Sie können aber auch für perfidere Social-Engineering-Angriffe genutzt werden.
Es ist davon auszugehen, dass in den nächsten Tagen oder Wochen weitere Datensätze auftauchen. Denn laut Sicherheitsplattform HaveIbeenPwned haben unbekannte Cyberkriminelle bei einem Datenklau insgesamt 167 Millionen Datensätze an persönlichen Daten erbeutet. Wahrscheinlich konnten die Angreifer dabei aber bisher „nur“ 68,26 Prozent der gestohlenen Accountdaten entschlüsseln und im Netz verbreiten.
Sicherheitslücken von Gravatar schon lange bekannt
Der gigantische Datendiebstahl wird von Sicherheitsexperten und der Presse zum Teil als geradezu fahrlässig gewertet. Immerhin hat bereits Ende 2020 der Sicherheitsexperte Carlo Di Dato vor der besagten Schwachstelle bei Gravatar gewarnt. Benutzerdaten werden von Gravatar nämlich nicht besonders effizient geschützt und können so ohne große Mühe mithilfe von Webcrawlern und Bots sowie einfachen Wörterbuchangriffen abgefangen werden. Unter anderem hashed Gravatar die Daten mit MD5, was heute als verhältnismäßig unsicher gilt.
Es wird jetzt davon ausgegangen, dass Hacker auch über genau diesen Weg an die Benutzerdaten gelangt sind. Zwar waren die persönlichen Daten wie E-Mail-Adressen bereits öffentlich zugänglich, beispielsweise in Blogs und Foren einsehbar, doch verteilten sie sich in den Weiten des Internets. Kriminellen wurden durch die Bündelung der Benutzerdaten jetzt aber übersichtliche Datenpakete mit hundert Millionen Sätzen geradezu serviert.
Und das war nicht einmal das erste Mal, dass auf die Sicherheitslücken von Gravatar hingewiesen wurde. Bereits im Jahr 2009 zeigte Developer.IT mithilfe eines einfachen Versuchs auf, wie unkompliziert man an die Daten von Gravatar gelangen kann.
Sind Sie vom Gavatar-Hack betroffen? Erfahren Sie es hier. Bild: Unsplash/@sigmund
Betrifft mich der Gravatar-Datenleck?
Sie fragen sich, ob Sie vom Datenleck betroffen sind? Sollte das der Fall sein, sollten Sie eigentlich mittlerweile eine E-Mail von Gravatar erhalten haben. Wenn Sie einen Gravatar-Account haben, sollten Sie in jedem Fall Ihr Passwort dort sowie in allen verbundenen Diensten ändern.
Alternativ können Sie auf der Internetseite HaveIbeenPwned.com prüfen, ob Ihre Daten bei diesem oder einem anderen Datenleck (zum Beispiel beim Twitch-, Facebook- oder LinkedIn-Hack oder bei einem Datenleak Ihres E-Mail-Verifizierers) gestohlen worden sind. HaveIbeenPwned gilt weltweit als seriöse und hochsichere Internetseite. Sie müssen hier nur Ihre E-Mail-Adresse eingeben und sehen, ob Sie von einem Angriff betroffen waren. Taucht Ihre E-Mail-Adresse in einer der bekannten geleakten Datensätze auf, sollten Sie umgehend prüfen, welche Ihrer Daten bekannt sind. Passwörter zu betroffenen Plattformen oder Websites sollten Sie umgehend ändern.
Opfer von Datenleck geworden? PC-SPEZIALIST hilft!
Tauchen Sie mit Ihrer privaten oder geschäftlichen E-Mail-Adresse in geleakten Datenlisten auf? Dann ist PC-SPEZIALIST ist der richtige Ansprechpartner für Sie. Wir prüfen gern gemeinsam mit Ihnen, welche Ihrer Daten öffentlich bekannt sind und wie Sie sich optimal schützen können. Müssen Sie Ihre Passwörter ändern oder sollten Sie sich sogar komplett neue Accounts zulegen? Sind Ihre Systeme gefährdet oder sind Sie, ohne es zu merken, sogar bereits Opfer von kriminellen Machenschaften geworden?
Sollten Sie Hilfe bei der Erstellung und Umsetzung von Schutzmaßnahmen benötigen, ist PC-SPEZIALIST für Kleinbetriebe der geeignete Ansprechpartner. Mit unseren E-Mail-Services für Firmen stehen wir Ihnen bei, gefährliche Nachrichten und Spam-Mails direkt auszusortieren, und beugen vor, sodass Sie nicht Opfer gefährlicher Phishing-Angriffe werden. Mit dem IT-Basisschutz stellt Ihnen PC-SPEZIALIST ein individuelles Paket für die kontinuierliche IT-Sicherheit zur Verfügung. Für Privatkunden bietet sich das Eins-für-Alles-Paket von PC-SPEZIALIST an, damit die privaten Geräte optimal geschützt sind. Sprechen Sie uns an!
_______________________________________________
Weiterführende Links: t3n, DER SPIEGEL, heise online, t-online, BASIC thinking, Developer.IT, HaveIbeenPwned.com
Schreiben Sie einen Kommentar