Stack Overflow 洩露用戶電子郵件信息

作者丨萬佳

作為全球最知名的開發者問答網站， Stack Overflow 發生信息洩露事件，涉及大多數用戶。

2 月 23 日，一位名叫 Gajus Kuizinas 的開發者在 Medium 上披露，Stack Overflow 用戶的電子郵件信息被洩露。

據了解，Gajus Kuizinas 正在為開發者服務工具 GitSpo 開發一個“Google Alerts”。他寫道，“雖然我沒徹底搞清楚它是什麽，但是 GitSpo 增長迅速，並受到開發者們的歡迎。”具體說來，GitSpo 從不同的社交網絡收集數據，比如 Twitter、LinkedIn、Stack Overflow 和 GitHub 等。一旦有開源項目在一些網站被提及，比如 Twitter、Reddit 和 Hacker News，GitSpo 就會給開發者發送提醒。

在這個事情推進過程中，Gajus Kuizinas 注意到一件事：Stack Overflow 默認用戶配置文件正使用 Gravatar。

作為一項在全球範圍內使用的頭像服務， Gravatar 允許你將頭像和電子郵件相關聯。只要你在 Gravatar 的伺服器上傳自己的頭像，那你到任何一個支持 Gravatar 的網站留言時，這個網站都會根據你提供的電子郵件地址為你顯示匹配的頭像。

如下圖所示（Gravatar URL）：

據了解，這項服務於 2007 年推出，並在某種程度上快速增長，因為它是 WordPress 站點留下評論的默認頭像。這個主意非常聰明，僅上傳一次頭像，你就可以在許多地方使用。

一旦更新你的 Gravatar，你的頭像就會在所有網站獲得更新。

Gajus Kuizinas 指出，不幸的是，它們選擇的哈希算法（ MD5 ）並不是特別安全。早在 1996 年以後，MD5 就被證實存在弱點，可以被破解。2004 年，證實 MD5 算法無法防止碰撞，因此不適用於安全性認證。

為驗證問題，Gajus Kuizinas 進行了一場實驗。他選擇 1000 個 Stack Overflow 配置文件的哈希值，並使用一種 MD5" 解密“服務，結果該服務成功分析出 721 封電子郵件，成功率高達 72%。

Gajus Kuizinas 評論，“然而，有趣的用例不是獲取電子郵件。眾所周知，很多開發者的電子郵件地址是半公開的，比如可以從 GitHub 上找到開發者的電子郵件地址。由於 GitSpo 擁有所有公共 GitHub 用戶和存儲庫的索引，因此我能添加關聯的電子郵件地址，對其進行哈希處理，並與 Stack Overflow 匹配，最後成功找到 1000 個。“

而更嚴重的問題在於，Stack Overflow 不是唯一使用 Gravatar 服務的網站，還有一些其他知名網站，比如 WordPress、HootSuite、TechDirt 和 Disqus 等。

最後，作者提醒，最好不要依賴 Gravatar 作為新用戶加入系統的服務。

點個在看少個 bug