Das "Have I been Pwned"-Projekt (HIBP) hat im digitalen Untergrund einen Datensatz mit 167 Millionen Namen, Nutzernamen und Hashes von E-Mail-Adressen vom Dienstleister Gravatar gefunden. Von den mit dem als unsicher geltenden MD5 gehashten Mail-Adressen sollen dabei rund 114 Millionen in geknackter Version vorliegen.

Gravatar bietet einen Dienst an, den Nutzernamen und E-Mail-Adresse mit einem Avatar zu verknüpfen und zentral zu verwalten. Seit Oktober 2020 war bekannt, dass sich bei Gravatar die gefundenen Daten massenhaft abschöpfen lassen, schreibt das "Have I been Pwned"-Projekt in einer kurzen Notiz zum Datenleck.

Mit den erbeuteten Daten dürften Cyberkriminelle keinen größeren direkten Schaden anrichten können. Gravatar-Nutzer sollten jedoch vorsichtig sein, da ihre E-Mail-Adresse nun in den falschen Händen etwa für Spam oder Phishing missbraucht werden kann. Zudem könnten Angreifer die Mails etwas glaubhafter konstruieren, wenn sie diese mit den weiteren Daten aus dem Gravatar-Leak ergänzen.

Die Macher von "Have I Been Pwned" haben Mitte vergangenen Jahres eine traurige Marke gerissen. Der Zähler überschritt dort 10 Milliarden Einträge beim Passwort-Prüfdienst. Der aktuelle Stand liegt derzeit bei rund 11,7 Milliarden geleakten Datensätzen.

(dmk)