Sonstiges

Kommentar-Avatare: Gravatare geben E-Mail-Adressen der Nutzer frei

gravatarEs wir ein wenig technisch und ich bin nicht überzeugt, dass ich alles verstanden habe – doch sollte es tatsächlich stimmen, haben wir wieder mal ein Sicherheitsleck im Netz. Es geht um Gravatar. Wenn ihr bei uns durch die Kommentare blättert, werden euch die kleinen User-Bildchen auffallen, die jeweils neben den Einträgen eingeblendet werden. Die Thumbnails zieht sich WordPress direkt von Gravater, wo sich die Nutzer jeweils vorher mit ihrer E-Mail-Adresse registriert haben. Das hat zum Beispiel den Vorteil, dass man das Bild – sollte es einem nicht mehr gefallen – auf Knopfdruck austauschen kann und es damit auf allen Plattformen automatisch übernommen wird.

Wie das funktioniert? Nach dem Anlegen des Gravatar-Kontos wird die Adresse nach dem Message-Digest-Algorithm 5 (kurz MD5) in einen Hash-Wert zerlegt. Um konkret zu werden: aus der Mail-Adresse „iHaveAn@email.com“ wird „3b3be63a4c2a439b013787725dfce802“. Gravatar selbst hält mit dieser Art der Codierung nicht hinter dem Berg und erläutert den Nutzern genauestens, was alles hinter den Kulissen passiert. Der Hash-Code wird dann an die URL „http://www.gravatar.com/avatar/“ angehängt und schwuppdiwupp – da ist das Bild.

Nun lässt sich alles Codierte auch irgendwie recodieren. Ein einfaches Script würde ausreichen, um Hunderttausende von MD5-Hashs im Internet einzusammeln, wird auf Developer.IT gewarnt. Mit einer Brute-Force-Attacke könnten die neben den Kommentaren stets sichtbaren Nutzernamen mit verschiedenen Endungen von Mail-Adressen (@gmail.com, @gmx.net usw.) ausprobiert werden. „Ich habe mit meinem Programm aus einer Liste von 80.871 Usern 8.597 funktionierende E-Mail-Adressen ziehen können. Das bedeutet, dass bei rund zehn Prozent der Nutzer der Username und die Gravatar-URL völlig ausreichen, um die E-Mail-Adresse abzuleiten, die sie bei der Registrierung angaben.“

Warum jemand an die Mailadressen von Kommentierenden möchte? Nun, natürlich könnte damit der Datenbestand für Spam-Opfer aufgestockt werden. Zudem wird dadurch die Anonymität in den Kommentaren aufgehoben: Es gibt da jemand, der sie zuspammt? Der gemein ist oder einfach nur nervt? Hier ist seine E-Mail-Adresse!

Gravatar hat auf die Vorwürfe bislang noch nicht reagiert, der letzte Eintrag im offiziellen Blog datiert auf den 21. August.

(André Vatter)

Über den Autor

André Vatter

André Vatter ist Journalist, Blogger und Social Median aus Hamburg. Er hat von 2009 bis 2010 über 1.000 Artikel für BASIC thinking geschrieben.

23 Kommentare

  • MD5 ist irreversibel. Mit einer Brute Force Attacke kann man *eine* mögliche Mail-Adresse finden, die den gleichen MD5-Hash erzeugt, ob das auch die richtige bzw. eine echte ist, ist dann noch lange nicht gesagt.
    Und kaum jemand wird eine minutenlange Brute Force-Attacke in Kauf nehmen, um eine einzige Mail-Adresse herauszufinden. Falls doch: mit Brute Force lässt sich fast alles knacken, wenn man nur genug Zeit investiert, so gesehen ist fast nichts sicher.

    Und wenn mich jemand zu spammt, sehe ich im Admin-Menü doch die entsprechende Mail-Adresse. Mal ganz davon abgesehen, dass Spammer ungerne echte Adressen benutzen.

  • Na ja, nicht jede Kodierung ist zwangsläufig auch dekodierbar. Es gibt ja zumindest theoretisch auch Einwegkodierungen (z.B. zur Passwort-Speicherung). Den Aufmacher halte ich auch für übertrieben, weil eben scheinbar nicht die Emailadresse, sondern nur ein Nutzername entschlüselt werden kann, wobei mir eigentlich kein Benutzername bei Gravatar bekannt ist und die Plugins ja zumindest wohl auch die gesamte Emailadresse kodiert übergeben müssen. Insofern doch schlimmer, als angenommen?

  • Pfff. Mal ehrlich. Die Adresse, die ich zum Kommentieren nutze, wird nur dafür genutzt und zudem durch 17.384 verschiedene Spamfilter gemeiert, bevor etwas bei mir ankommt. Ergo: wurscht!

  • Ich sagte ja, dass die Kiste ein wenig komplizierter ist. Doch laut Developers.IT und dem Stackoverflow-Forum ist es für Profis kein großes Problem, da ein wenig mit mehreren Lösungen herumzuspielen: http://www.developer.it/post/gravatars-why-publishing-your-email-s-hash-is-not-a-good-idea

    „Overall, gravatars seem to be one of the many web services where one gives up some information and privacy for being part of a community. At least, be aware of what you are giving up.“

  • Die Überschrift ist glaube ich etwas überzogen, unter frei geben und dem hier beschriebenen Verfahren um an die email adressen ran zu kommen liegt ja noch ein unterschied.
    So weit ich weiß kann man md5 nicht ohne weiteres zurück rechnen, bzw. sollte gar nicht zurück rechenbar sein.
    Ich halte das schon für ein legitimes Verfahren die email adresse zu hashen und dann im link zu benutzen.
    gruß
    hauke

  • Sorry aber ich sehe das Problem was Ihr uns hier servieren wollt auch nicht. Natürlich kann ich mir einen Crawler schreiben, der im Internet wahllos E-Mail Adressen einsammelt und deren MD5-Summen generiert. Dann kann ich auch sehen welche E-Mail Adresse hinter dem Bild von z.B. CBS steht…

    Aber in dem Moment hat mein Crawler die Adresse sowieso schon und es ist Unfug hier noch zu suchen ob einer der Hashs in meiner Adressliste steht.

    Natürlich geht es auch mit einem einfachen Brute-Forcer die E-Mail Adressen herauszufinden. Nehmen wir mal meine Adresse. Besteht aus Kleinbuchstaben, einem @ und einem . – Macht in der Summe 28 mögliche Zeichen. Nehmen wir jetzt die Länge von 14 Zeichen haben wir 28^14 Möglichkeiten, die diese Adresse sein könnten. Bei einer angenommenen Zahl von 1000 Adressen, die pro Sekunde getestet werden können (Was kaum ein Computer schaffen dürfte), komme ich auf 5.77 Mrd. Jahre um alle Hashs zu generieren. Kommt noch ein „-“ in der Adresse dazu erhöht sich die Zeit drastisch.

    Also jetzt mal ganz ehrlich: Was genau wollt Ihr uns hier erzählen?

  • Unglaublich das Gravater kein Salz verwendet… Also merke: keine Email Adresse mit bekannter Endung verwenden. Ich selbst nutze eine Email von GMX für solche Sachen, wo man sich eine lustige Endung aussuchen kann. Wenn der Koch das Salz vergisst, muss man eben sein Essen selber salzen. (Keine Sorge, wer das grade nicht versteht)

  • Jahaaa. Das klingt ja aufregend. Ob es das aber ist?

    1. Es ist möglich und einfach, Gravatar-Daten zu „ernten“: Stimmt sicher, zig Blogs benutzen das Zeug, ein Skript kann das ohne weiteres tun.
    2. Es ist möglich, einen MD5-Hash mit Brute Force rekursiv zu knacken: Es ist zumindest nicht trivial. Es ist aber natürlich leichter, wenn man die Bestandteile Benutzername, „at“ und Mailanbieter kennt, ein „crib“ nennt man das.
    3. Der Benutzername und ein geratener bekannter Mail-Anbieter bilden die E-Mail-Adresse: Das ist eben Spekulatius. Ich kann in das Feld „Name“ schreiben was ich will, von Gravatar geprüft wird eben nicht das, sondern nur die Mailadresse. Nur wenn ich also zwischen Name und Mailadressenteil einen Bezug habe, gebe ich also etwas preis. Und bei einem der paar großen Mailanbieter bin ich ja auch nicht zwangsläufig.

    Was hat der kluge Mann also wirklich getan? Er hat einen „educated guess“ gemacht, Namensfeld = Mailname und Anbieter = einer von einer Handvoll, hat den Hash gegen die Handvoll „cribs“ per Skript automatisiert getestet und festgestellt, daß einer davon in ca. 10% der Fälle zutrifft. Was hat Gravatar also preisgegeben? Nur die Bestätigung dieses Geratenen. Wenn ein Spammer auf diese Weise Adressen ernten will, kann er sich den Zwischenschritt sparen und gleich an jede der geratenen „cribs“ Spam schicken, wenn dann vier zurückkommen und eine ankommt, war er auch erfolgreich.

    Mit echten „educated guesses“ kann man noch weiter gehen. So haben viele Blogger Gravatars, viele Blogger haben auch eigene Domainadressen, die geben wir hier preis, und wenn wir dann unsere Mailadressen statt bei GMX bei unseren Domains haben, dann kann man auch die herleiten (genau, die könnten dann info, post, mail usw. heißen, wenn uns die ganze Domain gehört – nix Neues). Und auch das könnte das Skript gegentesten. Aber auch hier wieder: Spammer denken nicht so kompliziert. Die schicken einfach die vielen Mails, eine wird schon ankommen.

  • @Die Meisten:
    irreversibel oder nicht, spielt gar keine rolle. es gibt da eine ganz einfache zutat die nennt sich «Rainbow Table» (nährere infos auf wikipedia).

    @iNAND:
    wohl wahr, mit salz schmeckt «das essen» einfach besser.

  • Ich zeig das mal an einem Beispiel: Kommentator #1 ist der arme Captain Obvious. Er nennt sich David. Und er hat eine Domain für sein Blog. Hmmm. Ob er wohl david [at] seiner.domain heißt? Schnell getestet: nö. post? info? mail? einen MD5-Generator gegooglet, und jeder kann es selbst testen…

  • Das Problem ist, dass der Algorithmus, mit dem der Hash erzeugt wird, öffentlich bekannt sein muss, damit er auch in der Software verwendet werden kann. Das ist also keinesfalls ein Problem von MD5. Denn Bute-Force Methoden kann man an jedem Hash Algorithmus durchführen. Mit SHA-1 oder besser wäre es also nicht anders gelaufen. Das einzige, was man machen kann, ist einen Salt (Salz) mit in den zu kodierenden String zu streuen. Das heißt, nach jedem Buchstaben bspw. die Zahl 7 einfügen. Das erschwert dann die Verwendung von vorberechneten Tabellen, sog. Rainbow-Tables.
    Diese kann man aber dann aber auch wieder selbst berechnen. Dauert zwar Lange, funktioniert aber.

  • @iNAND:
    Aber mit einem Salt könnte doch Gravatar die hinter dem Hash stehende E-Mail-Adresse nicht mehr rausfinden, oder irre ich mich?
    Es sei denn, es würde überall der gleiche Salt benutzt, aber dann macht der Salt ja wieder keinen Sinn. Außerdem müsste der Salt bekannt sein, sonst kann ich ja den Hash für die Gravatar-URL nicht selbst generieren.

    • Hi Simon. Warum befindet sich eigentlich bei dir im hash „secure.gravatar.com“? Bei den meisten ist dieses „secure“ nicht dabei. Ich integriere für mein Blog auch diese Bildchen, möchte aber noch ein Bildklick integrieren, damit man das dazugehörige Gravatar Profil aufrufen kann. Eigentlich kein Problem (.json) aber bei dir finde ich keines. Liegt es an „secure“ in der URL? Ist dies extra dafür gedacht? Micha

  • @Simon:
    Du hast recht. Als ich den Kommentar vorhin geschrieben habe war mir das Prinzip von Gravatar nicht ganz klar. Das ganze funktioniert nur wenn die Umrechnung Email->Hash, reproduzierbar und öffentlich zugänglich das selbe Ergebnis liefert. Mit Salz kann man das nicht lösen.
    Mir würden zwar noch ein paar DInge einfallen die Sicherheit zu erhöhen. Dazu müsste Gravatar, allerdings seine Architektur ändern. Beispielsweise eine Anfrage seitens WordPress an den Gravatar Server, einen md5-hash in eine unique id umzuwandeln. Gravatar könnte die maximale Anzahl an anfragen auf bspweise 100 pro Std begrenzen. Brute Force Attacken könnten so umgangen werden. Wer mehr benötigt kann einen pro account beantragen

  • Also MD5 ist definitv _nicht_ rückschlüsselbar, das ist ausgeschlossen. Wie allerdings “ DunkleAura“ (9) schon schribe, existieren sog. „Rainbow“ Tables, mit denen z.B. Passwörter erkannt werden können. Das „Problem“ bei MD5 hashes ist einfach, das ein und derselbe String immer den gleichen hash erzeugt (was auch sinnig ist, aber eben auch gefährlich). Dadurch braucht man eigentlich nur einen Datenbestand von X Passwörtern, und versucht einfach den login durchzuführen, solnage bis es klappt. Fertig.

    Bei Email Adressen ist dqs was anders, da muss man, wie eben oben grob beschrieben, „basteln“ und abgleichen.

    Sicherer ist einfach Salted MD5 (da wird noch ein Teil des hashes wieder verschlüsselt und angehängt) oder SHA1 (oder äquivalente) Verschlüsselungen.

  • Die Überschrift ist so falsch wie sie falsch sein kann. Gravatar gibt gar nix frei. Völliger Unsinn.
    Tatsächlich ist es mir raten möglich, evtl. die Emailadresse die zum angezeigten Gravatar gehört, rauszufinden. Das funktioniert aber eben nur, wenn es tatsächlich so ist, das der Username ein Teil der Emailadresse ist, und der emailprovider, also die Domainangabe hiner dem @, zu den Vermuteten gehört.
    Es ist wesentlich einfacher, z.B. EMailadressen von Mitarbeitern irgendwelcher Firmen zu bekommen. Die Adressen für die Mitarbeiteraccounts werden immer nach einem Muster vergeben. Wie macht BT das? Oder plusserver? Gibt es evtl. avatter@basdicthinking.de, oder a.vatter@plusserver.de? Oder irgendwas ähnliches naheliegendes?
    Um die Tatsache, dass es Emailadressen gibt, die einem Muster entsprechen das leicht herauszufinden ist, wenn man einen Teil des Realnamens oder den Usernamen kennt, ist nichts neues. Darum so eine Bohei zu machen und es gleich so dramatisch und auch falsch darzustellen, finde ich ein bisschen hysterisch.
    Spam bekomme ich auch so genug. Auch ohne gravatar. Zum Glück filtert google das meiste schon heraus. Den Rest tut Thunderbird. Und die paar die dann noch durchkommen, sind eher erheiternd als lästig.
    So, und wer jetzt gut aufgepasst hat, kann auch ohne Rainbowtable und ohne MD5 Encoder schnell herausfinden, wie wohl eine meiner Emailadressen lautet.
    Nein danke, ich brauche kein Viagra.
    Wer sich trotzdem gerne kryptische MD5 Hashes und andere anschaut, kann das gerne in meinem Hash-Code Generator testen .. von mir aus auch bis er MD5: c8b4ea67dc350369494fc76d769300d6 als Ergebnis sieht.
    Für André Vatter muss man übrigens so lange testen, bis man ein MD5: c0d218c83438975cdf5a76c9d1d6ad3e sieht.

  • Aha, bin also nicht nur ich der hier den Sinn des Beitrags nicht so rafft. Und mein Hirn klinkte letztendlich aus bei:

    Es gibt da jemand, der sie zuspammt? Der gemein ist oder einfach nur nervt? Hier ist seine E-Mail-Adresse!

    Wo ist der Zusammenhang?

  • Ich empfehle den Schreiber des Artikels mehr Journalistisch zu arbeiten. Etwas mehr Recherche und nicht so viel „Dummschwatz“.

  • Danke den Vorrednern. Wenn der Schreiberling selber schon nicht sicher ist, sollte er es lassen, nur um ein paar Klicks mehr zu bekommen. Um Spam zu erstellen, frage ich doch nicht erst gravatar sondern schicke ich die Emails gleich zu den geratenen mailprovidern. Geht auch ganz schnell!

  • Ich glaube die meisten hier verstehen dass eigentliche Problem nicht wirklich. Das Webcrawler diesen Content auslesen ist sicherlich möglich, doch das wirklich gravierende Problem ist, dass Gravatar und andere dubiose Unternehmen durch die Verwendung ihrer „zentralen“ Plattform ein komplettes Profil eurer Daten haben und diese ohne weiteres an alle möglichen Interessierten verkaufen!!! Oder glaub hier noch jemand daran, dass Facebook, Google und Co. eure Daten nicht weitergeben und die ganzen Spam-Mails nur aus Zufall zu euch kommen..?

    Noch einmal zusammengefasst welche Sicherheitslücken Gravatar bietet:

    1. Gravatar sammelt alle eure Interessen (man kommentiert keine uninteressanten Blogs)
    2. Gravatar erstellt ein ausführliches Profil über euch
    3. Gravatar verkauft diese Daten an interessierte Unternehmen
    4. Ihr werdet massenhaft Spam aus unbekannten Quellen bekommen

    aber es hat auch seine Vorteile: Ihr werdet künftig für euch interessanten Spam bekommen..

  • Genau so wie Anonymous sehe ich es auch. Ich gebe meine Daten, und wenn es nur meine E-Mail-Adressen sind, an einen zentralen Dienst und kann ja gar nicht wissen, was mit meinen Daten passiert – ob ein Profil erstellt wird, ob diese gesammelten Daten mit anderen Daten zusammengeführt werden usw.

    Nur gibt es meines Wissens leider keine dezentralisierte, nicht-kommerzielle Alternative zu Gravatar (wie es welche für Twitter und Facebook gibt).