Abo
  • Services:
Anzeige
Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Security: 15 GByte Daten von Spendenseite Patreon gehackt

Die Website Patreon wurde gehackt.
Die Website Patreon wurde gehackt. (Bild: Screenshot Golem.de)

Nutzer der Spendenseite Patreon sollten ihre Passwörter ändern - Hacker haben 15 GByte an Daten erbeutet und im Netz veröffentlicht. Kreditkartennummern sollen nicht betroffen sein.

Anzeige

Hacker haben rund 15 GByte an Daten von der Spendenseite Patreon erbeutet. Auf Patreon können zum Beispiel Künstler um eine langfristige finanzielle Unterstützung ihrer Arbeit bitten. Die Auswirkungen des Hacks sind weitgehender, als zunächst befürchtet - Kreditkarteninformationen sollen aber nicht betroffen sein.

Der Sicherheitsforscher Troy Hunt hat sich den im Netz veröffentlichten Datensatz angeschaut. Seine Analyse bei Ars Technica: "Die Tatsache, dass Quellcode [in dem Datenmaterial] existiert, ist interessant und deutet darauf hin, dass das Datenleck weiter geht als ein typischer SQL-Injection-Angriff. Es bedeutet, dass die individuellen Nutzer den von ihnen unterstützten Kampagnen zugeordnet werden können." Zunächst hatte Patreon nur angegeben, dass "einige E-Mail-Adressen, Nachrichten und Postadressen" von Unbefugten eingesehen worden seien, weil ein Angreifer auf eine "öffentliche debug-Version unserer Website" habe zugreifen können.

Passwörter sind mit bcrypt gesichert

Zwar wurden bei dem Hack auch Passwörter entwendet - laut Patreon sind diese jedoch mit 2.048-Bit-RSA-Schlüsseln verschlüsselt, mit bcrypt gehasht und gesalzen. Diese Kombination gilt als extrem sicher. Da jedoch auch der Quellcode der Seite veröffentlicht wurde, könnten Angreifer womöglich Schwächen in der Implementation ausnutzen und trotzdem an die Passwörter gelangen. Auch das gehackte Seitensprungportal Ashley Madison hatte angegeben, bcrypt zu nutzen. Dies betraf jedoch nur einen Teil der Passwörter - außerdem enthielt die Implementation weitere Fehler, so dass Hacker mehrere Millionen Passwörter entschlüsseln konnten.

Laut Hunt, der die beliebte Webseite Have i been pwned? betreibt, ermöglicht eine genaue Analyse der geleakten Daten Rückschlüsse auf das Einkommen der Nutzer. Er sagte: "Die Veröffentlichung der genauen Dollar-Beträge ist nicht das größte Problem. Es sind die Identitäten, Nachrichten und andere Informationen der Unterstützter, die nun im Netz zu finden sind. Alles Private ist nun öffentlich."

Wie genau die Angreifer die Informationen erbeuten konnten, ist bislang nicht geklärt.


eye home zur Startseite
Xiut 04. Okt 2015

Ich habe mir den Sourcecode von Patreon angeschaut (findet man ja leicht im Internet) und...

hg (Golem.de) 02. Okt 2015

Nach den bislang bekannt gewordenen Informationen: Passwort (verschlüsselt), E-Mail...

BennyBorn 02. Okt 2015

SQL Injection soll wohl eine Möglichkeit gewesen sein, allerdings hatte man wohl auch...

Xiut 02. Okt 2015

Ich nutze in meinen Projekten bisher immer "nur" bcrypt, möchte aber immer mehr...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt
  2. T-Systems International GmbH, München
  3. T-Systems International GmbH, verschiedene Standorte
  4. über HRM CONSULTING GmbH, Konstanz (Home-Office)


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. Samsung Galaxy A3 2017 für 199,00€)
  2. 449,00€
  3. 219,00€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Ich weiß nicht ob ihr nur reiche Leute kennt

    chithanh | 00:27

  2. Liquivista

    maxule | 00:24

  3. Re: Meine Erfahrung als Störungssucher in Luxemburg

    AndyWeibel | 00:18

  4. Re: Erster!!!

    Shik3i | 00:17

  5. Re: Wofür ist das BVG-WiFi gut?

    chithanh | 00:05


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel