Anzeige
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Security: Wie Patreon gehackt wurde

Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen - diese ermöglichten den umfangreichen Hack in der vergangenen Woche. Tausende weiterer Webseiten sollen den gleichen Fehler machen und weisen ähnliche Sicherheitslücken auf.

Anzeige

Die Betreiber der Webseite Patreon wurden fünf Tage vor dem erfolgreichen Hack in der vergangenen Woche von Forschern der Sicherheitsfirma Detectify vor einer Sicherheitslücke gewarnt - das schreibt das Unternehmen in seinem Blog. Tausende weiterer Webseiten sollen den Forschern zufolge ähnliche Fehler wie Patreon machen - und sind somit für Angriffe verwundbar.

Die Patreon-Entwickler ließen Detectify zufolge Entwicklerwerkzeuge aus der "Werkzeug utility library" auf einer öffentlichen Subdomain laufen. Eine oder mehrere Web-Apps unter zach.patreon.com wären mit aktivierten Werkzeug-debugging-Funktionen gelaufen.

Schwachstelle durch Shodan erkannt

Detectify entdeckte die fehlerhafte Konfiguration durch eine Shodan-Suche. Nachdem sie die Schwachstelle gefunden hatten, informierten sie Patreon nach eigenen Angaben am 23. September. Neben Patreon sollen Tausende weiterer Webseiten den gleichen Fehler machen und sind daher ebenfalls verwundbar.

Die Dokumentation von Werkzeug warnt ausdrücklich vor dem Einsatz in Online-Produktivsystemen. Denn sobald eine Fehlermeldung ausgelöst wird, öffnet der Debugger eine Konsole. Über die Konsole können Angreifer dann Code ausführen und alle Daten abgreifen, auf die die Applikation Zugriff hat. Nach Angaben von Detectify wurde die Konsole schon durch den bloßen Aufruf der Domain getriggert und ermöglichte so direkt eine Remote Code Execution.

Der Sicherheitsforscher Coling Keigher warnte bereits im vergangenen Jahr vor Sicherheitsgefahren durch Debugging-Umgebungen in Livesystemen. Nachdem Detectify Patreon, nach eigenen Angaben, am 23. September über die Lücke informiert hatte, antwortete das Unternehmen, man sei dabei, die Probleme zu beheben.

Bei dem Hack wurden neben den verschlüsselten Passwörtern private Nachrichten der Nutzer, trunkierte Kreditkartendaten, E-Mail-Adressen und Postadressen sowie der Quellcode der Seite kompromittiert.


eye home zur Startseite
Xiut 06. Okt 2015

In der News zu dem Hack war die Rede davon, dass Passwörter bei Patreon zusätzlich neben...

schap23 05. Okt 2015

Alles richtig, aber wenn ein Konzern immer noch auf Gesamtreleases alle vier Monate...

elf 05. Okt 2015

Die Lücke ist ziemlich klein. Es dürfte kein all zu großer Aufwand sein, das bisschen...

ThiefMaster 05. Okt 2015

Geht standardmäßig auch ohne Exception.

Kommentieren



Anzeige

Stellenmarkt
  1. DAW SE, Ober-Ramstadt bei Darmstadt
  2. dSPACE GmbH, Paderborn
  3. Springer Science+Business Media Deutschland GmbH, Berlin
  4. GK SOFTWARE AG, Schöneck/Vogtland, Berlin, Barsbüttel, Köln, Sankt Ingbert


Anzeige
Blu-ray-Angebote
  1. (jeden Dienstag ist eine neue Folge verfügbar)
  2. (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)
  3. 139,99€

Folgen Sie uns
       


  1. Vorstandard

    Nokia will bereits ein 5G-fähiges Netz haben

  2. Vielfliegerprogramm

    Hacker stehlen Millionen Air-India-Meilen

  3. Funknetz

    BVG bietet offenes WLAN auf vielen U-Bahnhöfen

  4. Curiosity

    Weitere Hinweise auf einst sauerstoffreiche Mars-Atmosphäre

  5. Helium

    Neues Gas aus Tansania

  6. Streaming

    Netflix arbeitet intensiv an einer Sprachsuche

  7. Millionenrückzahlung

    Gericht erklärt Happy Birthday für gemeinfrei

  8. Trials of the Blood Dragon im Test

    Motorräder im B-Movie-Rausch

  9. Raumfahrt

    Kepler Communications baut Internet für Satelliten

  10. Klage zum Leistungsschutzrecht

    Verlage ziehen gegen Google in die nächste Runde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

Prozessor: Den einen Core M gibt es nicht
Prozessor
Den einen Core M gibt es nicht
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

  1. Re: Weshalb gibt Tesla keine PS mehr im...

    ldlx | 18:34

  2. Re: Selbst mit Subvention ~ 5¤ - kaum glaubwürdig.

    Rulf | 18:32

  3. Re: 4,9 Mio Euro in der ersten Ausbaustufe?

    Freiheit | 18:27

  4. Re: Und was wollen die jetzt genau damit??

    Der Held vom... | 18:26

  5. Re: endliche Ressourcen

    robinx999 | 18:25


  1. 18:25

  2. 18:17

  3. 17:03

  4. 16:53

  5. 16:44

  6. 15:33

  7. 14:47

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel