Abo
  • Services:

Security: 15 GByte Daten von Spendenseite Patreon gehackt

Nutzer der Spendenseite Patreon sollten ihre Passwörter ändern - Hacker haben 15 GByte an Daten erbeutet und im Netz veröffentlicht. Kreditkartennummern sollen nicht betroffen sein.

Artikel veröffentlicht am ,
Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Hacker haben rund 15 GByte an Daten von der Spendenseite Patreon erbeutet. Auf Patreon können zum Beispiel Künstler um eine langfristige finanzielle Unterstützung ihrer Arbeit bitten. Die Auswirkungen des Hacks sind weitgehender, als zunächst befürchtet - Kreditkarteninformationen sollen aber nicht betroffen sein.

Stellenmarkt
  1. Ruhrverband, Essen
  2. Zentiva Pharma GmbH, Berlin

Der Sicherheitsforscher Troy Hunt hat sich den im Netz veröffentlichten Datensatz angeschaut. Seine Analyse bei Ars Technica: "Die Tatsache, dass Quellcode [in dem Datenmaterial] existiert, ist interessant und deutet darauf hin, dass das Datenleck weiter geht als ein typischer SQL-Injection-Angriff. Es bedeutet, dass die individuellen Nutzer den von ihnen unterstützten Kampagnen zugeordnet werden können." Zunächst hatte Patreon nur angegeben, dass "einige E-Mail-Adressen, Nachrichten und Postadressen" von Unbefugten eingesehen worden seien, weil ein Angreifer auf eine "öffentliche debug-Version unserer Website" habe zugreifen können.

Passwörter sind mit bcrypt gesichert

Zwar wurden bei dem Hack auch Passwörter entwendet - laut Patreon sind diese jedoch mit 2.048-Bit-RSA-Schlüsseln verschlüsselt, mit bcrypt gehasht und gesalzen. Diese Kombination gilt als extrem sicher. Da jedoch auch der Quellcode der Seite veröffentlicht wurde, könnten Angreifer womöglich Schwächen in der Implementation ausnutzen und trotzdem an die Passwörter gelangen. Auch das gehackte Seitensprungportal Ashley Madison hatte angegeben, bcrypt zu nutzen. Dies betraf jedoch nur einen Teil der Passwörter - außerdem enthielt die Implementation weitere Fehler, so dass Hacker mehrere Millionen Passwörter entschlüsseln konnten.

Laut Hunt, der die beliebte Webseite Have i been pwned? betreibt, ermöglicht eine genaue Analyse der geleakten Daten Rückschlüsse auf das Einkommen der Nutzer. Er sagte: "Die Veröffentlichung der genauen Dollar-Beträge ist nicht das größte Problem. Es sind die Identitäten, Nachrichten und andere Informationen der Unterstützter, die nun im Netz zu finden sind. Alles Private ist nun öffentlich."

Wie genau die Angreifer die Informationen erbeuten konnten, ist bislang nicht geklärt.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€
  3. 169,90€ + Versand

Xiut 04. Okt 2015

Ich habe mir den Sourcecode von Patreon angeschaut (findet man ja leicht im Internet) und...

hg (Golem.de) 02. Okt 2015

Nach den bislang bekannt gewordenen Informationen: Passwort (verschlüsselt), E-Mail...

BennyBorn 02. Okt 2015

SQL Injection soll wohl eine Möglichkeit gewesen sein, allerdings hatte man wohl auch...

Xiut 02. Okt 2015

Ich nutze in meinen Projekten bisher immer "nur" bcrypt, möchte aber immer mehr...


Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

    •  /