Een avatar (afb: WikiMedia Commons)

Aanvallers zouden zonder al te veel moeite gebruikersgegevens via de met WordPress en Slack verbonden webdienst Gravatar kunnen plukken, waarschuwden deskundigen een jaar terug en nu schijnt dat gebeurd te zijn. Het zou gaan om gegevens van ruim 110 miljoen e-@dressen.
Verschillende abonnees van de dienst Have I been Pwnd kregen te lezen dat ook hun e-@dres tot de ‘slachtoffers’ hoorde. Dat zou dus aan een lek in Gravatar liggen, een dienst die avatars levert (wat mij betreft nutteloze plaatjes die je op het web kunt gebruiken ipv je foto). Het gaat om bijna 114 miljoen @dressen van gebruikers.
Gravatar is onderdeel van Automattic dat ook het bekende blogprogramma WordPress levert. Op de een of andere manier lijken het programmeerplatform GitHub en de babbeldienst Slack met Gravatar verbonden te zijn. Dus gebruikers daarvan die daar van Gravatar gebruik maken zouden daar ook last van kunnen hebben.

Het zou onder meer gaan over gegevens over bitcoinportefeuilles, telefoonmummers, e-@dressen, gebruikersnamen en huisadressen gaan. Have I been Pwnd? zou betrouwbaar zijn. Je kunt daar controleren of jouw @dres ook bij de ‘slachtoffers’ behoort. Voor zover ik het heb begrepen is er geen sprake van gestolen wachtwoorden, maar het lijkt me handig dat je je wachtwoord verandert als je @dres gecompromitteerd is. Het is toch wel handig dat regelmatig te doen.

Bron: der Spiegel