Abo
  • Services:
Anzeige
Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Security: 15 GByte Daten von Spendenseite Patreon gehackt

Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Nutzer der Spendenseite Patreon sollten ihre Passwörter ändern - Hacker haben 15 GByte an Daten erbeutet und im Netz veröffentlicht. Kreditkartennummern sollen nicht betroffen sein.

Anzeige

Hacker haben rund 15 GByte an Daten von der Spendenseite Patreon erbeutet. Auf Patreon können zum Beispiel Künstler um eine langfristige finanzielle Unterstützung ihrer Arbeit bitten. Die Auswirkungen des Hacks sind weitgehender, als zunächst befürchtet - Kreditkarteninformationen sollen aber nicht betroffen sein.

Der Sicherheitsforscher Troy Hunt hat sich den im Netz veröffentlichten Datensatz angeschaut. Seine Analyse bei Ars Technica: "Die Tatsache, dass Quellcode [in dem Datenmaterial] existiert, ist interessant und deutet darauf hin, dass das Datenleck weiter geht als ein typischer SQL-Injection-Angriff. Es bedeutet, dass die individuellen Nutzer den von ihnen unterstützten Kampagnen zugeordnet werden können." Zunächst hatte Patreon nur angegeben, dass "einige E-Mail-Adressen, Nachrichten und Postadressen" von Unbefugten eingesehen worden seien, weil ein Angreifer auf eine "öffentliche debug-Version unserer Website" habe zugreifen können.

Passwörter sind mit bcrypt gesichert

Zwar wurden bei dem Hack auch Passwörter entwendet - laut Patreon sind diese jedoch mit 2.048-Bit-RSA-Schlüsseln verschlüsselt, mit bcrypt gehasht und gesalzen. Diese Kombination gilt als extrem sicher. Da jedoch auch der Quellcode der Seite veröffentlicht wurde, könnten Angreifer womöglich Schwächen in der Implementation ausnutzen und trotzdem an die Passwörter gelangen. Auch das gehackte Seitensprungportal Ashley Madison hatte angegeben, bcrypt zu nutzen. Dies betraf jedoch nur einen Teil der Passwörter - außerdem enthielt die Implementation weitere Fehler, so dass Hacker mehrere Millionen Passwörter entschlüsseln konnten.

Laut Hunt, der die beliebte Webseite Have i been pwned? betreibt, ermöglicht eine genaue Analyse der geleakten Daten Rückschlüsse auf das Einkommen der Nutzer. Er sagte: "Die Veröffentlichung der genauen Dollar-Beträge ist nicht das größte Problem. Es sind die Identitäten, Nachrichten und andere Informationen der Unterstützter, die nun im Netz zu finden sind. Alles Private ist nun öffentlich."

Wie genau die Angreifer die Informationen erbeuten konnten, ist bislang nicht geklärt.


eye home zur Startseite
Xiut 04. Okt 2015

Ich habe mir den Sourcecode von Patreon angeschaut (findet man ja leicht im Internet) und...

hg (Golem.de) 02. Okt 2015

Nach den bislang bekannt gewordenen Informationen: Passwort (verschlüsselt), E-Mail...

BennyBorn 02. Okt 2015

SQL Injection soll wohl eine Möglichkeit gewesen sein, allerdings hatte man wohl auch...

Xiut 02. Okt 2015

Ich nutze in meinen Projekten bisher immer "nur" bcrypt, möchte aber immer mehr...



Anzeige

Stellenmarkt
  1. Der Polizeipräsident in Berlin, Berlin
  2. Kassenzahnärztliche Vereinigung Bayerns, München
  3. Heinzmann GmbH & Co. KG, Schönau
  4. Thalia Bücher GmbH, Berlin


Anzeige
Hardware-Angebote
  1. und Civilization VI gratis erhalten
  2. 1169,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Syndicate (1993)

    Vier Agenten für ein Halleluja

  2. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  3. USA

    Samsung will Note 7 in Backsteine verwandeln

  4. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  5. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  6. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  7. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  8. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  9. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  10. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Re: Samsung noch mehr gestorben

    crazypsycho | 12:47

  2. Re: Wie heißt dieses Spiel? Pls help...

    mw (Golem.de) | 12:45

  3. Re: Eigentlich reicht auch der Entzug der...

    m9898 | 12:43

  4. Re: Uralte Klassiker:

    raketenhund | 12:42

  5. Re: Da guck ich mal eben in meine Spielesammlung...

    mw (Golem.de) | 12:41


  1. 09:49

  2. 17:27

  3. 12:53

  4. 12:14

  5. 11:07

  6. 09:01

  7. 18:40

  8. 17:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel