Почти 15 ГБ пользовательских данных украдено с краудфандингового сайта Patreon

Почти 15 ГБ данных украдено с краудфандингового сайта Patreon

Неизвестные хакеры сумели взломать популярный ресурс для сбора пожертвований Patreon. В результате был опубликован архив, объемом почти 15 ГБ, содержащий, в том числе, исходные коды, пароли пользователей, данные о совершенных ими пожертвованиях и так далее.

Согласно официальному сообщению, Patreon был скомпрометирован 28 сентября текущего года, через дебаг-версию сайта, которую по ошибке оставили доступной для публики, сообщает xakep.ru

Сомнений в подлинности опубликованного архива данных, чей объем составил 13,7 ГБ, нет почти ни у кого. Так, ИБ-эксперт из Microsoft Трой Хант (Troy Hunt) сообщил, что данные явно взяты с серверов Patreon, а брешь, через которую хакеры смогли забраться так глубоко, явно была очень серьезна. Согласно сообщениям в Twitter, многие пользователи Patreon уже нашли среди украденных данных свои email и другую информацию. 

«Тот факт, что были опубликованы даже исходные коды, интересен и указывает на более широкую компрометацию ресурса, дело вряд ли обошлось обыкновенной SQL-инъекцией», — рассказал Хант изданию ArsTechnica.

Изучая содержимое архива и огромные MySQL-базы, Хант пришел к выводу, что утечка масштабная и затрагивает далеко не только пароли пользователей сервиса. Архив содержит 2,3 млн email-адресов, данные организаторов краудфандинговых кампаний, данные пользователей, жертвовавших деньги, их личные сообщения и другую приватную информацию, которая теперь стала публичной.

 

Содержимое архива. @amlolzz

patreon-hack-data-dump

 

Согласно официальным данным от представителей Patreon, все пароли были зашифрованы хеш-функцией bcrypt. Это не значит, что расшифровать их невозможно, недавний опыт Ashley Madison показывает, что на их расшифровку взломщикам просто понадобится много времени. Всем пользователям ресурса рекомендуется сменить пароли.

«Мы не храним на своих серверах полные номера кредитных карт, поэтому они скомпрометированы не были. Все попавшие в открытый доступ пароли, номера социального страхования и бланки налоговых деклараций в полной безопасности, так как были зашифрованы 2048-битным RSA-ключом», — гласит официальное сообщение Patreon.

23 сентября 2015 года, за 5 дней до обнаружения проникновения, исследователи из шведской компании Detectify предупреждали о том, что на сайте Patreon есть критическая уязвимость. Эксперты заметили, что на продакт-серверах Patreon работает Werkzeug utility library, а одно или более веб-приложение компании запущено в режиме отладки. Дело в том, что дебаггер Werkzeug  позволяет посетителю сайта исполнить практически любой код, прямо из браузера.

Хотя сотрудники Detectify уведомили краудфандинговую площадку о своей находке, очевидно, было уже поздно, или сотрудники Patreon не придали этому значения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PoC-коды для атак на сайты через уязвимости публикуются раз в три дня

Согласно результатам исследования, каждый месяц в веб-приложениях суммарно объявляется около 1000 новых уязвимостей. Четверть из них получают оценку «высокой опасности» или «критическая» (по CVSS).

Как подсчитали специалисты BI.ZONE, в 4% случаев концепция эксплойта становится достоянием общественности, такие PoC выкладывают в паблик 2-3 раза в неделю. Статистика была получена на основе анализа данных о веб-уязвимостях, выявленных этой осенью.

Около половины находок составили XSS и SQLi (26 и 22% соответственно). Вместе с тем авторы атак отдают предпочтение RCE — на такие попытки эксплойта пришлось 60% вредоносного трафика, зафиксированного осенью экспертами.

Опасные уязвимости чаще всего объявляются в приложениях, написанных на PHP (73%). Вторую и третью строчки в этом списке заняли JavaScript (13%) и Java (12%).

«Не все компании готовы оперативно обновлять софт до последней версии: в ряде случаев это может привести к сбоям в работе приложения, — отметил Дмитрий Царев, возглавляющий направление облачных решений кибербезопасности BI.ZONE. — В такой ситуации можно использовать решения класса WAF, чтобы блокировать вредоносные запросы. Это позволяет оперативно защитить приложение, пока компания тестирует обновление».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru