• IT-Karriere:
  • Services:

Security: Wie Patreon gehackt wurde

Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen - diese ermöglichten den umfangreichen Hack in der vergangenen Woche. Tausende weiterer Webseiten sollen den gleichen Fehler machen und weisen ähnliche Sicherheitslücken auf.

Artikel veröffentlicht am ,
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Die Betreiber der Webseite Patreon wurden fünf Tage vor dem erfolgreichen Hack in der vergangenen Woche von Forschern der Sicherheitsfirma Detectify vor einer Sicherheitslücke gewarnt - das schreibt das Unternehmen in seinem Blog. Tausende weiterer Webseiten sollen den Forschern zufolge ähnliche Fehler wie Patreon machen - und sind somit für Angriffe verwundbar.

Stellenmarkt
  1. Wintershall Dea Deutschland GmbH, Hamburg
  2. DMK E-BUSINESS GmbH, Berlin-Potsdam, Köln, Chemnitz

Die Patreon-Entwickler ließen Detectify zufolge Entwicklerwerkzeuge aus der "Werkzeug utility library" auf einer öffentlichen Subdomain laufen. Eine oder mehrere Web-Apps unter zach.patreon.com wären mit aktivierten Werkzeug-debugging-Funktionen gelaufen.

Schwachstelle durch Shodan erkannt

Detectify entdeckte die fehlerhafte Konfiguration durch eine Shodan-Suche. Nachdem sie die Schwachstelle gefunden hatten, informierten sie Patreon nach eigenen Angaben am 23. September. Neben Patreon sollen Tausende weiterer Webseiten den gleichen Fehler machen und sind daher ebenfalls verwundbar.

Die Dokumentation von Werkzeug warnt ausdrücklich vor dem Einsatz in Online-Produktivsystemen. Denn sobald eine Fehlermeldung ausgelöst wird, öffnet der Debugger eine Konsole. Über die Konsole können Angreifer dann Code ausführen und alle Daten abgreifen, auf die die Applikation Zugriff hat. Nach Angaben von Detectify wurde die Konsole schon durch den bloßen Aufruf der Domain getriggert und ermöglichte so direkt eine Remote Code Execution.

Der Sicherheitsforscher Coling Keigher warnte bereits im vergangenen Jahr vor Sicherheitsgefahren durch Debugging-Umgebungen in Livesystemen. Nachdem Detectify Patreon, nach eigenen Angaben, am 23. September über die Lücke informiert hatte, antwortete das Unternehmen, man sei dabei, die Probleme zu beheben.

Bei dem Hack wurden neben den verschlüsselten Passwörtern private Nachrichten der Nutzer, trunkierte Kreditkartendaten, E-Mail-Adressen und Postadressen sowie der Quellcode der Seite kompromittiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Xiut 06. Okt 2015

In der News zu dem Hack war die Rede davon, dass Passwörter bei Patreon zusätzlich neben...

schap23 05. Okt 2015

Alles richtig, aber wenn ein Konzern immer noch auf Gesamtreleases alle vier Monate...

elf 05. Okt 2015

Die Lücke ist ziemlich klein. Es dürfte kein all zu großer Aufwand sein, das bisschen...

ThiefMaster 05. Okt 2015

Geht standardmäßig auch ohne Exception.


Folgen Sie uns
       


Die Entstehung von Unix (Golem Geschichte)

Zwei Programmierer entwarfen nahezu im Alleingang eines der wichtigsten Betriebssysteme.

Die Entstehung von Unix (Golem Geschichte) Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
    CalyxOS im Test
    Ein komfortables Android mit einer Extraportion Privacy

    Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
    Ein Test von Moritz Tremmel

    1. Alternatives Android im Test /e/ will Google ersetzen

    Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
    Xbox, Playstation, Nvidia Ampere
    Wo bleiben die HDMI-2.1-Monitore?

    Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
    Eine Analyse von Oliver Nickel


        •  /