Abo
  • Services:
Anzeige
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Security: Wie Patreon gehackt wurde

Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen - diese ermöglichten den umfangreichen Hack in der vergangenen Woche. Tausende weiterer Webseiten sollen den gleichen Fehler machen und weisen ähnliche Sicherheitslücken auf.

Anzeige

Die Betreiber der Webseite Patreon wurden fünf Tage vor dem erfolgreichen Hack in der vergangenen Woche von Forschern der Sicherheitsfirma Detectify vor einer Sicherheitslücke gewarnt - das schreibt das Unternehmen in seinem Blog. Tausende weiterer Webseiten sollen den Forschern zufolge ähnliche Fehler wie Patreon machen - und sind somit für Angriffe verwundbar.

Die Patreon-Entwickler ließen Detectify zufolge Entwicklerwerkzeuge aus der "Werkzeug utility library" auf einer öffentlichen Subdomain laufen. Eine oder mehrere Web-Apps unter zach.patreon.com wären mit aktivierten Werkzeug-debugging-Funktionen gelaufen.

Schwachstelle durch Shodan erkannt

Detectify entdeckte die fehlerhafte Konfiguration durch eine Shodan-Suche. Nachdem sie die Schwachstelle gefunden hatten, informierten sie Patreon nach eigenen Angaben am 23. September. Neben Patreon sollen Tausende weiterer Webseiten den gleichen Fehler machen und sind daher ebenfalls verwundbar.

Die Dokumentation von Werkzeug warnt ausdrücklich vor dem Einsatz in Online-Produktivsystemen. Denn sobald eine Fehlermeldung ausgelöst wird, öffnet der Debugger eine Konsole. Über die Konsole können Angreifer dann Code ausführen und alle Daten abgreifen, auf die die Applikation Zugriff hat. Nach Angaben von Detectify wurde die Konsole schon durch den bloßen Aufruf der Domain getriggert und ermöglichte so direkt eine Remote Code Execution.

Der Sicherheitsforscher Coling Keigher warnte bereits im vergangenen Jahr vor Sicherheitsgefahren durch Debugging-Umgebungen in Livesystemen. Nachdem Detectify Patreon, nach eigenen Angaben, am 23. September über die Lücke informiert hatte, antwortete das Unternehmen, man sei dabei, die Probleme zu beheben.

Bei dem Hack wurden neben den verschlüsselten Passwörtern private Nachrichten der Nutzer, trunkierte Kreditkartendaten, E-Mail-Adressen und Postadressen sowie der Quellcode der Seite kompromittiert.


eye home zur Startseite
Xiut 06. Okt 2015

In der News zu dem Hack war die Rede davon, dass Passwörter bei Patreon zusätzlich neben...

schap23 05. Okt 2015

Alles richtig, aber wenn ein Konzern immer noch auf Gesamtreleases alle vier Monate...

elf 05. Okt 2015

Die Lücke ist ziemlich klein. Es dürfte kein all zu großer Aufwand sein, das bisschen...

ThiefMaster 05. Okt 2015

Geht standardmäßig auch ohne Exception.



Anzeige

Stellenmarkt
  1. BENTELER-Group, Paderborn
  2. ESG Consulting GmbH, München/Fürstenfeldbruck, Berlin
  3. THOMAS SABO GmbH & Co. KG, Lauf
  4. MEIERHOFER AG, München, St. Valentin (Österreich)


Anzeige
Spiele-Angebote
  1. 299,00€
  2. 349,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Neues iPhone

    US-Late-Night-Komiker witzeln über Apple

  2. Festnetz

    Weiterhin kein Internet ohne Telefonie bei der Telekom

  3. Zertifikate

    Mozilla will Startcom und Wosign das Vertrauen entziehen

  4. Kreditkartenmissbrauch

    Trumps Hotelkette mit Malware infiziert

  5. Open Location Platform

    Here lässt Autos miteinander sprechen

  6. Facebook

    100.000 Hassinhalte in einem Monat gelöscht

  7. TV-Kabelnetz

    Unitymedia arbeitet intensiv an verbesserten Ping-Zeiten

  8. DDoS

    Das Internet of Things gefährdet das freie Netz

  9. Hilfe von Google

    Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar

  10. Filmdatenbank

    Schauspieler lassen ihr Alter aus dem Internet entfernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  2. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  3. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. Osmo Mobile DJI präsentiert Gimbal fürs Smartphone
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

  1. Re: Das ist Zensur

    SelfEsteem | 19:18

  2. Re: Quatsch, veräppelt doch die Jugend

    ElMarchewko | 19:17

  3. Re: Nicht reden als DIE Lösung bei Diskrimination

    The Insaint | 19:17

  4. Re: Keine Router!?

    ip_toux | 19:16

  5. Re: Wieso überhaupt löschen?

    SelfEsteem | 19:15


  1. 19:12

  2. 18:52

  3. 18:34

  4. 18:17

  5. 17:51

  6. 17:25

  7. 16:25

  8. 16:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel