Crowdfunding-Site Patreon verliert fast 14 GByte Nutzerdaten

Nach einem Sicherheitsvorfall bei der Schwarmfinanzierungssite Patreon haben Hacker 13,7 GByte an dort gestohlenen Daten veröffentlicht. Dabei handelt es sich um Passwortdaten, Spendenarchive und Quelltexte, wie Ars Technica berichtet.

Die Daten zirkulieren in diversen Online-Foren und Speicherangeboten. Sicherheitsforscher Troy Hunt hat das auf patreon.thecthulhu.com deponierte Archiv untersucht und kommt zu dem Schluss, dass die Daten fast sicher von Patreon-Servern stammen. Auch könne man aufgrund des Umfangs sagen, dass der Datenverlust größer als zunächst angenommen war.

Die jüngsten der enthaltenen Daten stammen vom 24. September. Patreon informierte in der vergangenen Nacht über den Vorfall. Es hat demnach selbst am 30. September davon erfahren.

„Die Tatsache, dass Quelltext enthalten ist, ist interessant und legt nahe, dass es sich um weit mehr als eine typische SQL Injection gehandelt hat“, sagte Hunt gegenüber Ars Technica. Vermutlich wurde ein kompletter Server kompromittiert. Auf alle Fälle könne man mit den Daten nachvollziehen, welcher Nutzer welche Crowdfunding-Kampagne unterstützt hat.

Hunts Untersuchungen dauern noch an. In einem Tweet merkte er inzwischen an, aufgrund der Dateien könne man ermitteln, welche Summen einzelne Projekte und Personen auf Patreon bekommen hätten. Zudem seien Privatnachrichten zwischen Usern enthalten.

Der Sicherheitsforscher betreibt zugleich den Dienst „Have I been pwned?„, wo Anwender nachforschen können, ob zu ihren E-Mail-Adressen passende gestohlene Passwörter irgendwo im Netz stehen. Von Patreon stammende Daten arbeitet er hier so schnell wie möglich ein. Ihm zufolge enthält das fast 14 GByte große Archiv 2,3 Millionen unterschiedliche E-Mail-Adressen, darunter seine eigene.

Laut Patreon waren Passwörter von Nutzern durch einen anspruchsvollen bcrypt-Hash gesichert. Sie dürfte folglich nur mit enormem Rechenaufwand zu ermitteln sein. Allerdings könnte der Quelltext Rückschlüsse auf Programmierfehler zulassen, die wiederum das Erraten der Passwörter deutlich beschleunigen würden. Diesen Weg beschritten jedenfalls die Angreifer des Seitensprung-Portals Ashley Madison im August.

Auch die mit einem 2048-Bit-RSA-Key verschlüsselten Sozialversicherungs- und Steuernummern von Patreon-Nutzern könnten mithilfe des Quelltexts eventuell entschlüsselt werden. Kreditkartendaten speichert Patreon nach eigenen Angaben nicht auf dem betroffenen Server. Sicherheitshalber empfiehlt es allen Nutzern einen Passwortwechsel.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago