Die Woche ging die Meldung über einen Hack der Crowdfunding-Plattform Patreon durch's Web. Hacker haben neben Benutzerdaten auch den Quellcode der Website ins Netz gestellt (siehe diesen heise.de-Artikel). Aber das ist nicht das Ende der Geschichte.
Anzeige
Die Verschlüsselung der Benutzerdaten könnte durch Analyse des Quellcodes eventuell geknackt werden (einen solchen Fall hatte ich im Artikel Geklaute Ashley-Madison Passwörter wohl entschlüsselt beschrieben).
Aber das ist auch noch nicht alles. Der Hack war quasi eine Katastrophe mit Ansage. Fünf Tage vor dem Hack wurden die Betreiber der Site Patreaon.com von Sicherheitsforschern gewarnt, dass es eine fette Sicherheitslücke gebe. Die Entwickler bei Patreon ließen das Tool Werkzeug utility library in öffentlich zugänglichen Webbereichen und Web-Apps mitlaufen. Das Tool hat aber eine Remote-Debugging-Schnittstelle, über die der Hack vermutlich abgewickelt wurde. Das Tool dürfte auf vielen 1000 Webseiten ebenfalls mitlaufen und diese potentiell zu Opfern der nächsten Hacks werden lassen. Details zum Thema finden sich in diesem arstechnica.com-Artikel.
Anzeige
Kann man nun am 30.04.2017 davon ausgehen, das die Patreon Plattform sicher ist?
Wer soll das schon wissen? Mir liegen da keine Infos vor.