Reverse Engineering Gravatar

Reverse Engineering Gravatar

Heute möchte ich euch zeigen, wie ihr anhand einer Liste von E-Mail Adressen die Profilbilder von Gravatar Nutzern ermitteln könnt und so eine Zuordnung von E-Mail Adresse zu Profilbild erhaltet. Darüber hinaus können diese Daten dann ganz einfach um weitere, sehr persönliche Daten ergänzt werden.

Gravatar

Gravatar stellt über eine API die Möglichkeit zur Verfügung das Profilbild eines Nutzers auszugeben, wenn man dessen E-Mail Adresse kennt. Dazu muss die E-Mail Adresse nur mit Hilfe von MD5 verschlüsselt und an Gravatar gesendet werden.

Hier einmal die URL für den Aufruf:

Liegt zu der angefragten E-Mail Adresse ein Profilbild vor so wird dieses direkt zurückgegeben, ist dies nicht der Fall sendet die API ein Standard Bild zurück.

Daten sammeln

Dieses Vorgehen nutzen wir indem wir den HTTP Response von Gravatar, der ein Standard Bild zum Ergebnis hat, per MD5 verschlüsseln und diesen Wert dann gegen die Rückgaben von Gravatar für andere E-Mail Adressen prüfen.

Hier einmal der MD5 Hash des Standard Bildes (mit s=80px):

Nachfolgend mal ein paar Zeilen PHP Code, die das gerade genannte Vorgehen umsetzen:

Speichern wir dieses Script ab und lassen es folgendermaßen auf der Konsole laufen, so erhalten wir eine Liste mit E-Mail Adresse und dazu passendem Profilbild.

Die Ausgabe der output.txt sieht dann so aus:

Das sieht ja schonmal ganz nett aus, aber was kann ich jetzt damit machen?

Reputation beeinflussen: Blog Kommentare schreiben

Zum einem kann mit diesen Daten schon jetzt die Reputation betreffender Personen beeinflusst werden. Ich kann mir nun eine E-Mail Adresse aussuchen und diese nutzen um damit beispielsweise im Internet zu kommentieren. Blogsysteme wie WordPress nutzen Gravatar und binden die Profilbilder neben den jeweiligen Kommentaren ein.

Hier mal ein Beispiel:

Mit fremder E-Mail Adresse kommentieren
Mit fremder E-Mail Adresse kommentieren

Ich habe hier extra mal ein Beispiel gewählt, in dem das Profilbild keine reale Person abbildet. In den Datensätzen, die wir durch das Script generiert haben, sind aber auch andere reale Profilbilder zu finden. Damit könnten dann schon eher unschöne Dinge angestellt werden.

Ich denke gerade Spammer würden eine Liste mit solchen E-Mail Adressen gerne haben, da die Wahrscheinlichkeit einen Blog Kommentar von dem jeweiligen Webmaster freigschaltet zu bekommen hier schon recht hoch ist. Wenn dann noch der Spam Kommentar an sich plausibel klingt, sollte es da keine Probleme geben.

Diese Verwendung der Daten ist aber noch recht harmlos. Sehen wir uns an, was wir noch mit den Daten machen können.

Daten für’s E-Mail Marketing anreichern

Wenn wir den MD5 Hash nehmen und einen weiteren Request an Gravatar senden, bekommen wir weitere Informationen über den entsprechenden Benutzer.

Hier mal ein Beispiel:

Dieser Aufruf führt uns zu dem jeweiligen Profil des Benutzers. Dort können wir uns alle zu diesem Benutzer hinterlegten Daten im JSON Format ausgeben lassen. Das sieht dann in diesem Fall so aus:

Sehr gut. Jetzt haben wir neben der eigentlichen E-Mail Adresse, den MD5 Hash der Adresse und damit eine Möglichkeit die Gravatar User ID und den Benutzernamen zu ermitteln.

Wir nehmen nun den Benutzernamen unseres Beispielusers und schauen was wir so über ihn herausfinden können.

Dazu nutzen wir einfach mal Google.

Wir finden hier schnell ein Ergebnis, das ich anhand des Gravatar Profilbildes eindeutig validieren kann. Unser Beispieluser spielt demnach also gerne Battlefield:

Beispieluser spielt gerne Battlefield
Beispieluser spielt gerne Battlefield

Weiter geht’s. Was finden wir noch?

Cool, der Beispieluser hat wohl auch einen ICQ Account:

Beispieluser nutzt ICQ
Beispieluser nutzt ICQ

Jetzt haben wir noch den Namen, das Geschlecht und das Geburtsdatum des Beispielusers.

Ich denke schon alleine diese beiden Suchergebnisse zeigen, dass man die mit dem PHP Script gewonnenen Daten sehr einfach ergänzen bzw. erweitern kann. Gerade für den Bereich E-Mail Marketing könnten diese Daten also sehr interessant sein.

Ich weiss jetzt, dass der Beispieluser Dennis heisst, männlich und Anfang 30 ist und außerdem gerne Playstation spielt. Gerade kam die Playstation 4 raus, vielleicht kann ich Dennis ja eine passende E-Mail schreiben.

Fazit

So, das war dann auch schon mein Artikel zum Thema Reverse Engineering Gravatar. Dieser Artikel soll euch zeigen, dass man mit seinen Daten immer sehr vorsichtig umgehen sollte. Auch wenn es in einem ersten Schritt nur die E-Mail Adresse ist.

Bild: Flickr / p_vince

Veröffentlicht von

Michael

Webentwickler & SEO

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *