Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Security: Wie Patreon gehackt wurde

Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen – diese ermöglichten den umfangreichen Hack in der vergangenen Woche. Tausende weiterer Webseiten sollen den gleichen Fehler machen und weisen ähnliche Sicherheitslücken auf.
/ Hauke Gierow
7 Kommentare News folgen (öffnet im neuen Fenster)
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. Bild: Detectify

Die Betreiber der Webseite Patreon wurden fünf Tage vor dem erfolgreichen Hack in der vergangenen Woche von Forschern der Sicherheitsfirma Detectify vor einer Sicherheitslücke gewarnt – das schreibt das Unternehmen in seinem Blog(öffnet im neuen Fenster) . Tausende weiterer Webseiten sollen den Forschern zufolge ähnliche Fehler wie Patreon machen – und sind somit für Angriffe verwundbar.

Die Patreon-Entwickler ließen Detectify zufolge Entwicklerwerkzeuge aus der "Werkzeug utility library" auf einer öffentlichen Subdomain laufen. Eine oder mehrere Web-Apps unter zach.patreon.com wären mit aktivierten Werkzeug-debugging-Funktionen gelaufen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
System Manager - Laboratory Enterprise Systems (f/m/d) Ascendis Pharma GmbH, Heidelberg (öffnet im neuen Fenster)
Applikationsmanager (m/w/d) mit Schwerpunkt KI PROSOZ Herten GmbH, Herten (öffnet im neuen Fenster)
Geförderte Weiterbildung Trainer in der Erwachsenenbildung mit systemischer Coachingkompetenz (m/w/d) GIS-Akademie GmbH, Berlin (öffnet im neuen Fenster)
Head of Software Projects (m/w/d) Körber Pharma Inspection GmbH, Markt Schwaben (öffnet im neuen Fenster)
Patentingenieur (m/w/d) Dürkopp Fördertechnik GmbH, Bielefeld (öffnet im neuen Fenster)
IT Vertriebsinnendienst Commercial (w/m/d) Bechtle IT-Systemhaus GmbH & Co. KG, Düsseldorf (öffnet im neuen Fenster)
Senior Network Engineer (m/w/d) Leviat GmbH, Langenfeld (Rhld.) (öffnet im neuen Fenster)
Administrator*in (m/w/d) zentrale IT-Infrastruktur Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz (öffnet im neuen Fenster)

Schwachstelle durch Shodan erkannt

Detectify entdeckte die fehlerhafte Konfiguration durch eine Shodan-Suche. Nachdem sie die Schwachstelle gefunden hatten, informierten sie Patreon nach eigenen Angaben am 23. September. Neben Patreon sollen Tausende weiterer Webseiten den gleichen Fehler machen und sind daher ebenfalls verwundbar.

Die Dokumentation von Werkzeug warnt ausdrücklich vor dem Einsatz in Online-Produktivsystemen(öffnet im neuen Fenster) . Denn sobald eine Fehlermeldung ausgelöst wird, öffnet der Debugger eine Konsole. Über die Konsole können Angreifer dann Code ausführen und alle Daten abgreifen, auf die die Applikation Zugriff hat. Nach Angaben von Detectify wurde die Konsole schon durch den bloßen Aufruf der Domain getriggert und ermöglichte so direkt eine Remote Code Execution.

Der Sicherheitsforscher Coling Keigher warnte bereits im vergangenen Jahr(öffnet im neuen Fenster) vor Sicherheitsgefahren durch Debugging-Umgebungen in Livesystemen. Nachdem Detectify Patreon, nach eigenen Angaben, am 23. September über die Lücke informiert hatte, antwortete das Unternehmen, man sei dabei, die Probleme zu beheben.

Bei dem Hack wurden neben den verschlüsselten Passwörtern private Nachrichten der Nutzer, trunkierte Kreditkartendaten, E-Mail-Adressen und Postadressen sowie der Quellcode der Seite kompromittiert.

Zur Startseite 7 Kommentare

Relevante Themen

VerschlüsselungSoftwareSecuritySicherheitslückeDatensicherheitPasswortSQL