Почти 15 ГБ пользовательских данных украдено с краудфандингового сайта Patreon

Discussion in 'Мировые новости. Обсуждения.' started by hahanovB, 3 Oct 2015.

  1. hahanovB

    hahanovB Active Member

    Joined:
    22 Jul 2013
    Messages:
    260
    Likes Received:
    244
    Reputations:
    2
    Почти 15 ГБ пользовательских данных украдено с краудфандингового сайта Patreon

    [​IMG]


    Неизвестные хакеры сумели взломать популярный ресурс для сбора пожертвований Patreon. В результате был опубликован архив, объемом почти 15 ГБ, содержащий, в том числе, исходные коды, пароли пользователей, данные о совершенных ими пожертвованиях и так далее.

    Согласно официальному сообщению, Patreon был скомпрометирован 28 сентября текущего года, через дебаг-версию сайта, которую по ошибке оставили доступной для публики.

    Сомнений в подлинности опубликованного архива данных, чей объем составил 13,7 ГБ, нет почти ни у кого. Так, ИБ-эксперт из Microsoft Трой Хант (Troy Hunt) сообщил, что данные явно взяты с серверов Patreon, а брешь, через которую хакеры смогли забраться так глубоко, явно была очень серьезна. Согласно сообщениям в Twitter, многие пользователи Patreon уже нашли среди украденных данных свои email и другую информацию.

    «Тот факт, что были опубликованы даже исходные коды, интересен и указывает на более широкую компрометацию ресурса, дело вряд ли обошлось обыкновенной SQL-инъекцией», — рассказал Хант изданию ArsTechnica.

    Изучая содержимое архива и огромные MySQL-базы, Хант пришел к выводу, что утечка масштабная и затрагивает далеко не только пароли пользователей сервиса. Архив содержит 2,3 млн email-адресов, данные организаторов краудфандинговых кампаний, данные пользователей, жертвовавших деньги, их личные сообщения и другую приватную информацию, которая теперь стала публичной.

    [​IMG]

    Согласно официальным данным от представителей Patreon, все пароли были зашифрованы хеш-функцией bcrypt. Это не значит, что расшифровать их невозможно, недавний опыт Ashley Madison показывает, что на их расшифровку взломщикам просто понадобится много времени. Всем пользователям ресурса рекомендуется сменить пароли.

    23 сентября 2015 года, за 5 дней до обнаружения проникновения, исследователи из шведской компании Detectify предупреждали о том, что на сайте Patreon есть критическая уязвимость. Эксперты заметили, что на продакт-серверах Patreon работает Werkzeug utility library, а одно или более веб-приложение компании запущено в режиме отладки. Дело в том, что дебаггер Werkzeug позволяет посетителю сайта исполнить практически любой код, прямо из браузера.

    [​IMG]

    Хотя сотрудники Detectify уведомили краудфандинговую площадку о своей находке, очевидно, было уже поздно, или сотрудники Patreon не придали этому значения.

    Ссылка на архив с данными:
    https://patreon.thecthulhu.com/

    03.10.2015
    Источник: xakep.ru
     
    #1 hahanovB, 3 Oct 2015
    SaNDER and makag like this.
(You must log in or sign up to post here.)