Abo
  • Services:
Anzeige
Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Security: 15 GByte Daten von Spendenseite Patreon gehackt

Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Nutzer der Spendenseite Patreon sollten ihre Passwörter ändern - Hacker haben 15 GByte an Daten erbeutet und im Netz veröffentlicht. Kreditkartennummern sollen nicht betroffen sein.

Anzeige

Hacker haben rund 15 GByte an Daten von der Spendenseite Patreon erbeutet. Auf Patreon können zum Beispiel Künstler um eine langfristige finanzielle Unterstützung ihrer Arbeit bitten. Die Auswirkungen des Hacks sind weitgehender, als zunächst befürchtet - Kreditkarteninformationen sollen aber nicht betroffen sein.

Der Sicherheitsforscher Troy Hunt hat sich den im Netz veröffentlichten Datensatz angeschaut. Seine Analyse bei Ars Technica: "Die Tatsache, dass Quellcode [in dem Datenmaterial] existiert, ist interessant und deutet darauf hin, dass das Datenleck weiter geht als ein typischer SQL-Injection-Angriff. Es bedeutet, dass die individuellen Nutzer den von ihnen unterstützten Kampagnen zugeordnet werden können." Zunächst hatte Patreon nur angegeben, dass "einige E-Mail-Adressen, Nachrichten und Postadressen" von Unbefugten eingesehen worden seien, weil ein Angreifer auf eine "öffentliche debug-Version unserer Website" habe zugreifen können.

Passwörter sind mit bcrypt gesichert

Zwar wurden bei dem Hack auch Passwörter entwendet - laut Patreon sind diese jedoch mit 2.048-Bit-RSA-Schlüsseln verschlüsselt, mit bcrypt gehasht und gesalzen. Diese Kombination gilt als extrem sicher. Da jedoch auch der Quellcode der Seite veröffentlicht wurde, könnten Angreifer womöglich Schwächen in der Implementation ausnutzen und trotzdem an die Passwörter gelangen. Auch das gehackte Seitensprungportal Ashley Madison hatte angegeben, bcrypt zu nutzen. Dies betraf jedoch nur einen Teil der Passwörter - außerdem enthielt die Implementation weitere Fehler, so dass Hacker mehrere Millionen Passwörter entschlüsseln konnten.

Laut Hunt, der die beliebte Webseite Have i been pwned? betreibt, ermöglicht eine genaue Analyse der geleakten Daten Rückschlüsse auf das Einkommen der Nutzer. Er sagte: "Die Veröffentlichung der genauen Dollar-Beträge ist nicht das größte Problem. Es sind die Identitäten, Nachrichten und andere Informationen der Unterstützter, die nun im Netz zu finden sind. Alles Private ist nun öffentlich."

Wie genau die Angreifer die Informationen erbeuten konnten, ist bislang nicht geklärt.


eye home zur Startseite
Xiut 04. Okt 2015

Ich habe mir den Sourcecode von Patreon angeschaut (findet man ja leicht im Internet) und...

hg (Golem.de) 02. Okt 2015

Nach den bislang bekannt gewordenen Informationen: Passwort (verschlüsselt), E-Mail...

BennyBorn 02. Okt 2015

SQL Injection soll wohl eine Möglichkeit gewesen sein, allerdings hatte man wohl auch...

Xiut 02. Okt 2015

Ich nutze in meinen Projekten bisher immer "nur" bcrypt, möchte aber immer mehr...



Anzeige

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Commerz Finanz GmbH, München
  4. Ratbacher GmbH, Frankfurt


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Search Light

    Google testet schlanke Such-App

  2. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  3. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards

  4. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  5. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  6. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores

  7. Starcraft Remastered im Test

    Klick, klick, klick, klick, klick als wär es 1998

  8. KB4034658

    Anniversary-Update-Update macht Probleme mit WSUS

  9. Container

    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

  10. Radeon RX Vega

    Mining-Treiber steigert MH/s deutlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: wurde bekannt, dass der Streamingdienst 20,5...

    ubuntu_user | 07:00

  2. Re: Warum ich die Golem Werbung blocke ..

    otraupe | 06:53

  3. Deswegen hat man sich damals unterhalten

    Klausens | 06:50

  4. Re: sieht trotzdem ...

    ArcherV | 06:45

  5. Re: Ich habe einfach kein Interesse an Werbung

    otraupe | 06:44


  1. 17:02

  2. 15:55

  3. 15:41

  4. 15:16

  5. 14:57

  6. 14:40

  7. 14:26

  8. 13:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel