l+f: Wie Patreon zum Ziel wurde

Die Crowdfunding-Plattform Patreon wurde über einen offen im Web stehenden Entwicklungs-Server geknackt. Dabei erbeuteten die Hacker eine Menge persönliche Daten der Nutzer, die sie prompt ins Netz stellten. Jetzt hat eine Sicherheitsfirma offen gelegt, wie Patreon zum Ziel wurde. Die Entwickler hatten den Python-Debugger Werkzeug öffentlich auf dem Server laufen. Dadurch lies sich der Dev-Server in der einschlägigen Suchmaschine Shodan aufspüren.

Werkzeug öffnet automatisch eine Python-Shell, wenn der Debugger einen Fehler in der Seite feststellt. "Remote Code Execution by design", nennen das die Sicherheitsforscher. Entsprechend sollte man Sorge tragen, diesen Debugger nie dem öffentlichen Internet auszusetzen. RTFM.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(fab)