Abo
  • Services:
Anzeige
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Security: Wie Patreon gehackt wurde

Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen - diese ermöglichten den umfangreichen Hack in der vergangenen Woche. Tausende weiterer Webseiten sollen den gleichen Fehler machen und weisen ähnliche Sicherheitslücken auf.

Anzeige

Die Betreiber der Webseite Patreon wurden fünf Tage vor dem erfolgreichen Hack in der vergangenen Woche von Forschern der Sicherheitsfirma Detectify vor einer Sicherheitslücke gewarnt - das schreibt das Unternehmen in seinem Blog. Tausende weiterer Webseiten sollen den Forschern zufolge ähnliche Fehler wie Patreon machen - und sind somit für Angriffe verwundbar.

Die Patreon-Entwickler ließen Detectify zufolge Entwicklerwerkzeuge aus der "Werkzeug utility library" auf einer öffentlichen Subdomain laufen. Eine oder mehrere Web-Apps unter zach.patreon.com wären mit aktivierten Werkzeug-debugging-Funktionen gelaufen.

Schwachstelle durch Shodan erkannt

Detectify entdeckte die fehlerhafte Konfiguration durch eine Shodan-Suche. Nachdem sie die Schwachstelle gefunden hatten, informierten sie Patreon nach eigenen Angaben am 23. September. Neben Patreon sollen Tausende weiterer Webseiten den gleichen Fehler machen und sind daher ebenfalls verwundbar.

Die Dokumentation von Werkzeug warnt ausdrücklich vor dem Einsatz in Online-Produktivsystemen. Denn sobald eine Fehlermeldung ausgelöst wird, öffnet der Debugger eine Konsole. Über die Konsole können Angreifer dann Code ausführen und alle Daten abgreifen, auf die die Applikation Zugriff hat. Nach Angaben von Detectify wurde die Konsole schon durch den bloßen Aufruf der Domain getriggert und ermöglichte so direkt eine Remote Code Execution.

Der Sicherheitsforscher Coling Keigher warnte bereits im vergangenen Jahr vor Sicherheitsgefahren durch Debugging-Umgebungen in Livesystemen. Nachdem Detectify Patreon, nach eigenen Angaben, am 23. September über die Lücke informiert hatte, antwortete das Unternehmen, man sei dabei, die Probleme zu beheben.

Bei dem Hack wurden neben den verschlüsselten Passwörtern private Nachrichten der Nutzer, trunkierte Kreditkartendaten, E-Mail-Adressen und Postadressen sowie der Quellcode der Seite kompromittiert.


eye home zur Startseite
Xiut 06. Okt 2015

In der News zu dem Hack war die Rede davon, dass Passwörter bei Patreon zusätzlich neben...

schap23 05. Okt 2015

Alles richtig, aber wenn ein Konzern immer noch auf Gesamtreleases alle vier Monate...

elf 05. Okt 2015

Die Lücke ist ziemlich klein. Es dürfte kein all zu großer Aufwand sein, das bisschen...

ThiefMaster 05. Okt 2015

Geht standardmäßig auch ohne Exception.



Anzeige

Stellenmarkt
  1. GALERIA Kaufhof GmbH, Köln
  2. Computacenter AG & Co. oHG, Berlin, Frankfurt, Ratingen, Stuttgart, München
  3. Waldorf Frommer Rechtsanwälte, München
  4. operational services GmbH & Co. KG, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)

Folgen Sie uns
       


  1. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  2. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  3. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  4. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  5. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  6. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  7. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  8. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  9. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  10. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Warum überhaupt VLC nutzen

    ve2000 | 01:26

  2. Re: Exzessive Nutzung kann sogar ein unerfüllter...

    bombinho | 01:10

  3. Re: War Huawei nicht auch mal ein Billig-"China...

    sofries | 00:37

  4. Alternativen?

    Chrizzl | 00:32

  5. Re: Unix, das Betriebssystem von Entwicklern, für...

    __destruct() | 00:22


  1. 18:10

  2. 10:10

  3. 09:59

  4. 09:00

  5. 18:58

  6. 18:20

  7. 17:59

  8. 17:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel