Le projet « Have I been Pwned » (HIBP) a trouvé dans le sous-sol numérique un ensemble de données contenant 167 millions de noms, de noms d’utilisateur et de hachages d’adresses électroniques du prestataire de services Gravatar. Parmi les adresses électroniques hachées avec le code MD5, considéré comme peu sûr, environ 114 millions seraient disponibles dans une version craquée.

Gravatar propose un service permettant d’associer le nom d’utilisateur et l’adresse e-mail à un avatar et de les gérer de manière centralisée. Depuis octobre 2020, on savait que Gravatar permettait de siphonner en masse les données trouvées, écrit le projet « Have I been Pwned » dans une brève note sur la fuite de données.

Les données récupérées ne devraient pas permettre aux cybercriminels de causer des dommages directs importants. Les utilisateurs de Gravatar doivent toutefois se montrer prudents, car leur adresse électronique peut désormais être utilisée entre de mauvaises mains, par exemple pour du spam ou du phishing. En outre, les pirates pourraient rendre les e-mails un peu plus crédibles s’ils les complètent avec les autres données issues de la fuite de Gravatar.

Les créateurs de « Have I Been Pwned » ont franchi un triste cap au milieu de l’année dernière. Le compteur y a dépassé les 10 milliards d’entrées du service de vérification des mots de passe. L’état actuel est d’environ 11,7 milliards d’enregistrements divulgués.