Abo
  • Services:

Security: Wie Patreon gehackt wurde

Die Spendenseite Patreon nutzte falsch konfigurierte Debugging-Umgebungen - diese ermöglichten den umfangreichen Hack in der vergangenen Woche. Tausende weiterer Webseiten sollen den gleichen Fehler machen und weisen ähnliche Sicherheitslücken auf.

Artikel veröffentlicht am ,
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack.
Eine fehlerhafte Konfiguration der Debugging-Umgebung "Werkzeug" führte zu dem Hack. (Bild: Detectify)

Die Betreiber der Webseite Patreon wurden fünf Tage vor dem erfolgreichen Hack in der vergangenen Woche von Forschern der Sicherheitsfirma Detectify vor einer Sicherheitslücke gewarnt - das schreibt das Unternehmen in seinem Blog. Tausende weiterer Webseiten sollen den Forschern zufolge ähnliche Fehler wie Patreon machen - und sind somit für Angriffe verwundbar.

Stellenmarkt
  1. BüchnerBarella Holding GmbH & Co. KG, Gießen
  2. BWI GmbH, verschiedene Standorte

Die Patreon-Entwickler ließen Detectify zufolge Entwicklerwerkzeuge aus der "Werkzeug utility library" auf einer öffentlichen Subdomain laufen. Eine oder mehrere Web-Apps unter zach.patreon.com wären mit aktivierten Werkzeug-debugging-Funktionen gelaufen.

Schwachstelle durch Shodan erkannt

Detectify entdeckte die fehlerhafte Konfiguration durch eine Shodan-Suche. Nachdem sie die Schwachstelle gefunden hatten, informierten sie Patreon nach eigenen Angaben am 23. September. Neben Patreon sollen Tausende weiterer Webseiten den gleichen Fehler machen und sind daher ebenfalls verwundbar.

Die Dokumentation von Werkzeug warnt ausdrücklich vor dem Einsatz in Online-Produktivsystemen. Denn sobald eine Fehlermeldung ausgelöst wird, öffnet der Debugger eine Konsole. Über die Konsole können Angreifer dann Code ausführen und alle Daten abgreifen, auf die die Applikation Zugriff hat. Nach Angaben von Detectify wurde die Konsole schon durch den bloßen Aufruf der Domain getriggert und ermöglichte so direkt eine Remote Code Execution.

Der Sicherheitsforscher Coling Keigher warnte bereits im vergangenen Jahr vor Sicherheitsgefahren durch Debugging-Umgebungen in Livesystemen. Nachdem Detectify Patreon, nach eigenen Angaben, am 23. September über die Lücke informiert hatte, antwortete das Unternehmen, man sei dabei, die Probleme zu beheben.

Bei dem Hack wurden neben den verschlüsselten Passwörtern private Nachrichten der Nutzer, trunkierte Kreditkartendaten, E-Mail-Adressen und Postadressen sowie der Quellcode der Seite kompromittiert.



Anzeige
Hardware-Angebote
  1. 169,90€ + Versand
  2. ab 194,90€
  3. 94,90€ + Versand mit Gutschein QVO20

Xiut 06. Okt 2015

In der News zu dem Hack war die Rede davon, dass Passwörter bei Patreon zusätzlich neben...

schap23 05. Okt 2015

Alles richtig, aber wenn ein Konzern immer noch auf Gesamtreleases alle vier Monate...

elf 05. Okt 2015

Die Lücke ist ziemlich klein. Es dürfte kein all zu großer Aufwand sein, das bisschen...

ThiefMaster 05. Okt 2015

Geht standardmäßig auch ohne Exception.


Folgen Sie uns
       


The Division 2 - Test

The Division 2 ist ein spektakuläres Spiel - und um einiges besser als der Vorgänger.

The Division 2 - Test Video aufrufen
Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

    •  /