Stack Overflow 泄露用户电子邮件信息

作为全球最知名的开发者问答网站，Stack Overflow发生信息泄露事件，涉及大多数用户。

2 月 23 日，一位名叫 Gajus Kuizinas 的开发者在 Medium 上披露，Stack Overflow 用户的电子邮件信息被泄露。

据了解，Gajus Kuizinas 正在为开发者服务工具GitSpo开发一个“Google Alerts”。他写道，“虽然我没彻底搞清楚它是什么，但是 GitSpo 增长迅速，并受到开发者们的欢迎。”具体说来，GitSpo 从不同的社交网络收集数据，比如 Twitter、LinkedIn、Stack Overflow 和 GitHub 等。一旦有开源项目在一些网站被提及，比如 Twitter、Reddit 和 Hacker News，GitSpo 就会给开发者发送提醒。

在这个事情推进过程中，Gajus Kuizinas 注意到一件事：Stack Overflow 默认用户配置文件正使用 Gravatar。

作为一项在全球范围内使用的头像服务，Gravatar允许你将头像和电子邮件相关联。只要你在 Gravatar 的服务器上传自己的头像，那你到任何一个支持 Gravatar 的网站留言时，这个网站都会根据你提供的电子邮件地址为你显示匹配的头像。

通过对用户的电子邮件进行哈希处理，它能找到用户头像，比如 Gajus Kuizinas 的电子邮件地址是 gajus@gajus.com，任何知道这个电子邮件的人都可以生成一个 Gravatar URL，然后加载 Gajus Kuizinas 的头像。

如下图所示（Gravatar URL）：

据了解，这项服务于 2007 年推出，并在某种程度上快速增长，因为它是 WordPress 站点留下评论的默认头像。这个主意非常聪明，仅上传一次头像，你就可以在许多地方使用。

一旦更新你的 Gravatar，你的头像就会在所有网站获得更新。

Gajus Kuizinas 指出，不幸的是，它们选择的哈希算法（MD5）并不是特别安全。早在 1996 年以后，MD5 就被证实存在弱点，可以被破解。2004 年，证实 MD5 算法无法防止碰撞，因此不适用于安全性认证。

MD5 算法会通过哈希处理电子邮件，最后生成 Gravatar 图像，比如 md5(‘gajus@gajus.com’) === ‘74a5bd659b3a8af09a336a932eebe3b1’。Gajus Kuizinas 认为，即使在那时，使用 MD5 来散列 private data 依然是个糟糕的选择。现在，有包含超过 90 万亿个哈希值的 MD5 数据库。

为验证问题，Gajus Kuizinas 进行了一场实验。他选择 1000 个 Stack Overflow 配置文件的哈希值，并使用一种 MD5"解密“服务，结果该服务成功分析出 721 封电子邮件，成功率高达 72%。

Gajus Kuizinas 评论，“然而，有趣的用例不是获取电子邮件。众所周知，很多开发者的电子邮件地址是半公开的，比如可以从 GitHub 上找到开发者的电子邮件地址。由于 GitSpo 拥有所有公共 GitHub 用户和存储库的索引，因此我能添加关联的电子邮件地址，对其进行哈希处理，并与 Stack Overflow 匹配，最后成功找到 1000 个。“

而更严重的问题在于，Stack Overflow 不是唯一使用 Gravatar 服务的网站，还有一些其他知名网站，比如 WordPress、HootSuite、TechDirt 和 Disqus 等。

最后，作者提醒，最好不要依赖 Gravatar 作为新用户加入系统的服务。

参考文章：

Stack Overflow is leaking user emails