Gravatar -这是医疗论坛的安全风险吗？

Question

如果网站论坛使用Gravatar，而用户主要是发布有关精神健康问题的个人信息，这是一种安全风险吗？网站应该考虑关闭，还是允许退出Gravatar？

一方面，这些用户自愿参加这些公共论坛。另一方面，他们并没有透露自己的身份，很可能认为他们的身份不能轻易暴露出来。

风险似乎是，网站所有者失去信任，并有可能违反健康隐私法律在不同的国家，身份被认为是PII。

当然，如果没有技术漏洞，这一切都是没有意义的。我所能找到的最好的总结似乎表明仍然有一些值得关注的原因：https://www.wordfence.com/blog/2016/12/gravatar-advisory-protect-email-address-identity

Answer 1

HIPAA特别声明用户的电子邮件地址受到保护。用户密码的md5散列很容易逆转，而这些哈希的数据泄露将导致受保护的电子邮件地址被泄露，这将导致法律追索权。黑帽社区可以快速破解哈希，电子邮件地址可以比密码更可预测。

如果攻击者能够证明您的系统违反了HIPAA，则将采取法律行动。Gravatar从未打算保护用户的隐私，泄露医疗病人的gravatar是违反HIPAA的行为。