В сеть попали данные пользователей и исходные коды краудфандинга Patreon

в 10:25, , рубрики: patreon, взлом, информационная безопасность, краудфандинг, пароли, утечка, метки:

Краудфандинговая платформа Patreon, позволяющая пользователям почувствовать себя меценатами и поддерживать творческих людей при помощи периодических пожертвований, была взломана в конце сентября. Неизвестный хакер опубликовал архив объёмом более 15 Гб, содержащий в себе различную персональную информацию о пользователях сайта и его исходные коды.

1 октября сооснователь проекта Джек Коунт [Jack Conte] в сообщении, предназначенном для всех пользователей сайта, пояснил, что из-за ошибки программистов на сайте некоторое время был открыт доступ к версии сайта, находящейся в разработке. В результате, через эту лазейку неизвестным хакерам удалось добраться до базы данных проекта, откуда и были скачаны имена, адреса электронной почты, комментарии, домашние адреса (указанные для доставки товаров) и адреса для счетов.

Коунт особо подчеркнул, что поскольку компания не хранит данные по банковским картам, эта информация хакерам не досталась. Кроме того, он уверил общественность, что пароли и номера карт социального страхования были захэшированы через bcrypt ключом 2048-bit RSA с применением «соли», поэтому, по его словам, опасаться доступа к этим данным нет. Тем не менее, он всё-таки порекомендовал пользователям в качестве предосторожности поменять пароли.

Предосторожность никогда не бывает лишней – ведь позже выяснилось, что кроме доступа к базе данных, хакеры смогли скачать ещё и исходные коды сайта. А никакая криптостойкость ключа не поможет, если в алгоритме работы с чувствительными данными будет допущена ошибка. Именно так случилось с данными, утекшими с недавно взломанного сайта знакомств для взрослых Ashley Madison. Некорректное применение технологий привело к тому, что все пароли, после тщательного изучения механизмы работы с хэшированием, удалось вскрыть.

Специалист по безопасности Трой Хант [Troy Hunt],- владелец сайта "have i been pwned?", где желающие могут проверить, не попал ли их e-mail в общий доступ в результате каких-то утечек,- уже успел пройтись по архиву данных. Хант подтвердил аутентичность архива, и нашёл в нём более 2 миллионов уникальных адресов электронной почты – в частности, и свой собственный. Также, по его словам, используя эту базу, вполне возможно связать пользователей с проектами, которым они оказывают поддержку.

Позднее многие пользователи Patreon подтвердили через Twitter, что обнаружили свои данные в архиве. Судя по его содержимому, последние записи перед взломом были созданы в базе 24 сентября.

Пользователям проекта необходимо не только поменять свой пароль на Patreon, но и изменить этот пароль на других сайтах, в том случае, если они использовали его повторно. А лучше всего, разумеется, на разных ресурсах всегда использовать разные случайно созданные пароли.

Платформа Patreon, базирующаяся в Сан-Франциско, была создана в 2013 году музыкантом Джеком Коунтом и разработчиком Сэмом Ямом. Она позволяет различным художникам, музыкантам и другим деятелям искусств получать финансирование на периодической основе от всех желающих. В данный момент платформа получает в виде пожертвований несколько миллионов долларов ежемесячно. Комиссия проекта составляет 5% от переводов.

Автор: SLY_G

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js