Gravatar-läckan 2020

Jag hittar ingen bättre forumdel för min fråga. Flytta gärna, om det finns någon bättre del. Annars, för sådana här it-diskussioner som inte rör Android, så kan jag tycka att ett nytt delforum kunde vara på sin plats, typ "Övriga it- och teknikdiskussioner", eller kanske "Diskussioner om säkerhet och övriga it-frågor".

Till frågan:
Jag upptäckte Google One:s nya bonustjänst som heter Dark web reports. Man får notiser om ens uppgifter dyker upp i någon läcka som publiceras på dark web. Det visade sig att två av mina epostadresser fanns i en läcka som heter "Scraped Gravatar Profiles" från 2020. Jag känner igen svagt att jag läst om detta för flera år sedan, jag vet att det gäller företaget Gravatar, som har koppling till wordpress.
Gravatar - Wikipedia
Längst ned i wikipedia-artikeln finns lite mer info.

Men jag måste erkänna att jag inte alls får klarhet i vilken information som läckt, och var jag ursprungligen matat in den. Någon som vet bättre?
Jag tror mig minnas att disqus, de som driver kommentarsfunktionen bl.a. för swedroids nyhetssida, hade någon slags säkerhetsincident vid något tillfälle. Typ att användarnamnen var baserade på någon slags hash, och att man kunde gå bakvägen och genom ett "anonymt" användarnamn få fram epostadressen för kontot. Är Gravatar-läckan något liknande? Någon text jag läste i ämnet indikerade det.

Jag har inte skapat någon "avatar" vad jag kan minnas, och aldrig ens besökt Gravatars webbsida förrän nu. Jag förstår inte vad företaget menar mer specifikt med "avatar" i sitt namn "gravatar". Men jag har använt ett wordpress-konto för att kunna kommentera på någon blogg en gång i tiden minns jag. Är det därifrån mina uppgifter läckt? Har varje wordpress-konto en sådan "avatar" länkad till kontot? Är lösenord läckta också? Den ena läckta epostadressen har jag ett konto hos wordpress med, men den andra läckta epostadressen har jag aldrig skapat ett konto hos wordpress med, så jag blir lite konfunderad hur den adressen kan vara med i läckan.

Jag ser, förutom epostadresserna, även två användarnamn i Google One-informationen, som hör ihop med läckan. Men användarnamnen är maskerade, man ser de första två tecknen. Det ena användarnamnet säger mig något, det andra ingenting alls. Någon som har kunskap hur man ska göra för att hitta ursprungsmaterialet, för att kunna se användarnamnen i klartext? Skicka PM gärna.
Enligt haveibeenpwned.com är båda mina adresser gröna, denna läcka dyker inte upp där. Där får jag bara Adobe-läckan 2013, för en av adresserna.

Jag är tacksam om någon hjälper mig att få klarhet ;-)

 

I stort sett alltid när användaruppgifter har läckt så har även lösenorden läckt eftersom de normalt sett lagras i samma tabell i databaserna, dock är lösenorden envägskrypterade vilket innebär att de som vill komma åt lösenordet använder samma hash (som även den är lagrad i samma tabell) och testar lösenord efter lösenord tills de får samma resultat som det krypterade lösenordet.

En bra dator hinner testa ett par hundra till ett antal tusen lösenord per sekund, om man har använt ett enkelt lösenord som qwerty eller abc123 så hittas lösenordet på under en sekund det är därför som sidor ofta rekommenderar att man ska använda långa lösenord med både små och stora bokstäver, siffror och specialtecken så som & eller $, de lösenorden tar mycket längre tid att hitta och är de tillräckligt avancerade så kanske de inte hittas förrän man sätter en kvantdator på jobbet...

När ett lösenord är knäckt så testar en dator samma login på andra tjänster och eftersom det är så många människor som är så dumma att de använder samma login på flera olika tjänster så kommer de in på fler tjänster.

Då är det bättre att låta webbläsaren föreslå ett lösenord på varje tjänst, då får man unika lösenord som inte fungerar på någon annan tjänst och man behöver inte oroa sig lika mycket.

 

Håller med om nyttan av slumpgenererade lösenord som är unika för varje sajt. Har själv unika lösenord för huvuddelen av mina konton, men några undantag.

Jag läste om läckan:
"While no passwords and no information was leaked that wasn't publicly accessible before, this does mean that spammers, scammers and other people alike now have access to millions of email addresses which are proven to exist."
Då verkar lösenord inte vara läckta.

Men sen läste jag på en annan plats att MD5-hasher av epostadresser läckte, och att en stor del av dessa blev knäckta och visade i klartext. Så påståendet ovan om "that wasn't publicly accessible before" kanske inte stämmer helt.

Här är en intressant diskussion i ämnet:

View: https://www.reddit.com/r/programming/comments/r9ubne/gravatar_data_breach/

Det är fler som känner precis som jag, de vet inte vad Gravatar är, har inte skapat ett konto där, de tycker själva idén bakom Gravatar låter integritetskänslig, och undrar vilken sajt de registrerat sig på för att bli en del i läckan.

Som nämnt ovan, lösenord verkar inte läckta, enligt flera källor jag sett.

För mig är "avatar" en bild. Du skriver "en och samma avatar överallt", vad menar du då, typ ett användarkonto och/eller användarnamn (med profilbild som ingår)? Användningen av ordet "avatar" runt denna tjänst är för mig bara ett stort frågetecken haha, och fler verkar känna detsamma.

Om jag på Gravatars webbsida klickar på logga in eller registrera, så skickas jag vidare till en wordpress-sida. Så någon stark koppling till wordpress måste ju finnas. Jag läser att både Wordpress och Github verkar ha någon slags koppling till Gravatar.
Jag har aldrig skapat ett konto direkt hos Gravatar, det är jag så gott som helt säker på. Min lösenordshanterare, som jag använt slaviskt i rätt många år, visar ingenting för Gravatar. Däremot ser jag att jag en gång skapat ett wordpress-konto (men bara ett, inte två som läckan skulle kunna indikera). Github-konto har jag aldrig skapat. Så jag är fortfarande rätt frågande.

Jag hittade att någon på Github (lustigt nog) har publicerat materialet, men det är åtskilliga GB att ladda ner. Om jag vill se de läckta uppgifterna som rör mig i detalj, dvs se användarnamnet och lösenordet i klartext, finns det något sätt? Om man vill slippa ladda ner hela databasen.

 

Du kan prova Have I Been Pwned: Check if your email has been compromised in a data breach
Du får nog inte se alla uppgifter utan bara en bekräftelse på om mailadressen är med och i vilka fall den kommer från.

 

Jag har redan testat den sajten. Där syns ingen av mina adresser beträffande Gravatar-läckan, det är bara en adress som dyker upp gällande Adobe-läckan 2013. Dvs ingen info där.