Crowdfunding-Site Patreon verliert fast 14 GByte Nutzerdaten

Nach einem Sicherheitsvorfall bei der Schwarmfinanzierungssite Patreon haben Hacker 13,7 GByte an dort gestohlenen Daten veröffentlicht. Dabei handelt es sich um Passwortdaten, Spendenarchive und Quelltexte, wie Ars Technica berichtet.

Die Daten zirkulieren in diversen Online-Foren und Speicherangeboten. Sicherheitsforscher Troy Hunt hat das auf patreon.thecthulhu.com deponierte Archiv untersucht und kommt zu dem Schluss, dass die Daten fast sicher von Patreon-Servern stammen. Auch könne man aufgrund des Umfangs sagen, dass der Datenverlust größer als zunächst angenommen war.

Die jüngsten der enthaltenen Daten stammen vom 24. September. Patreon informierte in der vergangenen Nacht über den Vorfall. Es hat demnach selbst am 30. September davon erfahren.

„Die Tatsache, dass Quelltext enthalten ist, ist interessant und legt nahe, dass es sich um weit mehr als eine typische SQL Injection gehandelt hat“, sagte Hunt gegenüber Ars Technica. Vermutlich wurde ein kompletter Server kompromittiert. Auf alle Fälle könne man mit den Daten nachvollziehen, welcher Nutzer welche Crowdfunding-Kampagne unterstützt hat.

Hunts Untersuchungen dauern noch an. In einem Tweet merkte er inzwischen an, aufgrund der Dateien könne man ermitteln, welche Summen einzelne Projekte und Personen auf Patreon bekommen hätten. Zudem seien Privatnachrichten zwischen Usern enthalten.

Der Sicherheitsforscher betreibt zugleich den Dienst „Have I been pwned?„, wo Anwender nachforschen können, ob zu ihren E-Mail-Adressen passende gestohlene Passwörter irgendwo im Netz stehen. Von Patreon stammende Daten arbeitet er hier so schnell wie möglich ein. Ihm zufolge enthält das fast 14 GByte große Archiv 2,3 Millionen unterschiedliche E-Mail-Adressen, darunter seine eigene.

Laut Patreon waren Passwörter von Nutzern durch einen anspruchsvollen bcrypt-Hash gesichert. Sie dürfte folglich nur mit enormem Rechenaufwand zu ermitteln sein. Allerdings könnte der Quelltext Rückschlüsse auf Programmierfehler zulassen, die wiederum das Erraten der Passwörter deutlich beschleunigen würden. Diesen Weg beschritten jedenfalls die Angreifer des Seitensprung-Portals Ashley Madison im August.

Auch die mit einem 2048-Bit-RSA-Key verschlüsselten Sozialversicherungs- und Steuernummern von Patreon-Nutzern könnten mithilfe des Quelltexts eventuell entschlüsselt werden. Kreditkartendaten speichert Patreon nach eigenen Angaben nicht auf dem betroffenen Server. Sicherheitshalber empfiehlt es allen Nutzern einen Passwortwechsel.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de