Crowdfunding-Plattform Patreon gehackt, Nutzerdaten erbeutet
Angreifer haben einen öffentlich zugänglichen Entwicklungs-Server der Seite dazu missbraucht, E-Mail-Adressen, Klarnamen und postalische Adressen der Nutzer mitgehen zu lassen. Weiter Daten wurden kopiert, waren allerdings verschlüsselt.
- Fabian A. Scherschel
Bei einem Angriff auf die Crowfunding-Plattform Patreon wurden verschlüsselte Passwörter, Steuer-Daten und Sozialversicherungsnummern kopiert. Laut den Betreibern der Seite sind diese Daten sicher mit einem 2048-bit RSA-Schlüssel verschlüsselt, der den Angreifern wohl nicht in die Hände gefallen ist. Allerdings konnten diese Klarnamen, E-Mail-Adressen und einige postalische Adressen der Patreon-Nutzer unverschlüsselt erbeuten. Die Betreiber empfehlen ihren Nutzern aus Vorsicht, das verwendete Passwort zu ändern.
Laut Patreon-Chef Jack Conte fand der Einbruch am 28. September über eine Debug-Version der Web-App auf einem eigenen Server statt, der öffentlich zugänglich war. Die Daten fanden sich in einem Datenbank-Backup der Produktionssysteme, der auf dem Debug-Server abgelegt war. Als Reaktion habe man nun alle Test-Server hinter die eigene Firewall verlegt und eine Sicherheitsfirma beauftragt, den Einbruch zu untersuchen. Zur Sicherheit habe man auch Kryptoschlüssel gewechselt. Man habe zu keiner Zeit Passwörter irgendwo im Klartext gespeichert.
Patreon ist eine Crowdfunding-Plattform, bei der man Künstler mit monatlichen Zahlungen unterstützen kann. Auf der Seite finden sich Musiker, Comicbuch-Autoren, Podcaster und Filmemacher. Im Gegensatz zu einer Seite wie Kickstarter geht es hier oft nicht um das einmalige unterstützen eines spezifischen Projektes, sondern darum, einem Künstler den Lebensunterhalt zu zahlen, damit dieser seiner Arbeit nachgehen kann. So leitet sich auch der Name von der antiken Tradition des Patronats ab. (fab)
