Crowdfunding-Site Patreon verliert fast 14 GByte Nutzerdaten

Nach einem Sicherheitsvorfall bei der Schwarmfinanzierungssite Patreon haben Hacker 13,7 GByte an dort gestohlenen Daten veröffentlicht. Dabei handelt es sich um Passwortdaten, Spendenarchive und Quelltexte, wie Ars Technica berichtet.

Die Daten zirkulieren in diversen Online-Foren und Speicherangeboten. Sicherheitsforscher Troy Hunt hat das auf patreon.thecthulhu.com deponierte Archiv untersucht und kommt zu dem Schluss, dass die Daten fast sicher von Patreon-Servern stammen. Auch könne man aufgrund des Umfangs sagen, dass der Datenverlust größer als zunächst angenommen war.

Die jüngsten der enthaltenen Daten stammen vom 24. September. Patreon informierte in der vergangenen Nacht über den Vorfall. Es hat demnach selbst am 30. September davon erfahren.

„Die Tatsache, dass Quelltext enthalten ist, ist interessant und legt nahe, dass es sich um weit mehr als eine typische SQL Injection gehandelt hat“, sagte Hunt gegenüber Ars Technica. Vermutlich wurde ein kompletter Server kompromittiert. Auf alle Fälle könne man mit den Daten nachvollziehen, welcher Nutzer welche Crowdfunding-Kampagne unterstützt hat.

Hunts Untersuchungen dauern noch an. In einem Tweet merkte er inzwischen an, aufgrund der Dateien könne man ermitteln, welche Summen einzelne Projekte und Personen auf Patreon bekommen hätten. Zudem seien Privatnachrichten zwischen Usern enthalten.

Der Sicherheitsforscher betreibt zugleich den Dienst „Have I been pwned?„, wo Anwender nachforschen können, ob zu ihren E-Mail-Adressen passende gestohlene Passwörter irgendwo im Netz stehen. Von Patreon stammende Daten arbeitet er hier so schnell wie möglich ein. Ihm zufolge enthält das fast 14 GByte große Archiv 2,3 Millionen unterschiedliche E-Mail-Adressen, darunter seine eigene.

Laut Patreon waren Passwörter von Nutzern durch einen anspruchsvollen bcrypt-Hash gesichert. Sie dürfte folglich nur mit enormem Rechenaufwand zu ermitteln sein. Allerdings könnte der Quelltext Rückschlüsse auf Programmierfehler zulassen, die wiederum das Erraten der Passwörter deutlich beschleunigen würden. Diesen Weg beschritten jedenfalls die Angreifer des Seitensprung-Portals Ashley Madison im August.

Auch die mit einem 2048-Bit-RSA-Key verschlüsselten Sozialversicherungs- und Steuernummern von Patreon-Nutzern könnten mithilfe des Quelltexts eventuell entschlüsselt werden. Kreditkartendaten speichert Patreon nach eigenen Angaben nicht auf dem betroffenen Server. Sicherheitshalber empfiehlt es allen Nutzern einen Passwortwechsel.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago