В сеть попали данные пользователей и исходные коды краудфандинга Patreon
@troyhunt dm me if you want the @Patreon dump :) pic.twitter.com/C19XseLEmn
— amlolz (@amlolzz) 1 октября 2015
Краудфандинговая платформа Patreon, позволяющая пользователям почувствовать себя меценатами и поддерживать творческих людей при помощи периодических пожертвований, была взломана в конце сентября. Неизвестный хакер опубликовал архив объёмом более 15 Гб, содержащий в себе различную персональную информацию о пользователях сайта и его исходные коды.
1 октября сооснователь проекта Джек Коунт [Jack Conte] в сообщении, предназначенном для всех пользователей сайта, пояснил, что из-за ошибки программистов на сайте некоторое время был открыт доступ к версии сайта, находящейся в разработке. В результате, через эту лазейку неизвестным хакерам удалось добраться до базы данных проекта, откуда и были скачаны имена, адреса электронной почты, комментарии, домашние адреса (указанные для доставки товаров) и адреса для счетов.
Коунт особо подчеркнул, что поскольку компания не хранит данные по банковским картам, эта информация хакерам не досталась. Кроме того, он уверил общественность, что пароли и номера карт социального страхования были захэшированы через bcrypt ключом 2048-bit RSA с применением «соли», поэтому, по его словам, опасаться доступа к этим данным нет. Тем не менее, он всё-таки порекомендовал пользователям в качестве предосторожности поменять пароли.
Предосторожность никогда не бывает лишней – ведь позже выяснилось, что кроме доступа к базе данных, хакеры смогли скачать ещё и исходные коды сайта. А никакая криптостойкость ключа не поможет, если в алгоритме работы с чувствительными данными будет допущена ошибка. Именно так случилось с данными, утекшими с недавно взломанного сайта знакомств для взрослых Ashley Madison. Некорректное применение технологий привело к тому, что все пароли, после тщательного изучения механизмы работы с хэшированием, удалось вскрыть.
Специалист по безопасности Трой Хант [Troy Hunt],- владелец сайта "have i been pwned?", где желающие могут проверить, не попал ли их e-mail в общий доступ в результате каких-то утечек,- уже успел пройтись по архиву данных. Хант подтвердил аутентичность архива, и нашёл в нём более 2 миллионов уникальных адресов электронной почты – в частности, и свой собственный. Также, по его словам, используя эту базу, вполне возможно связать пользователей с проектами, которым они оказывают поддержку.
Позднее многие пользователи Patreon подтвердили через Twitter, что обнаружили свои данные в архиве. Судя по его содержимому, последние записи перед взломом были созданы в базе 24 сентября.
@thorsheim @Asher_Wolf @troyhunt My account details were in the released dump :-/
— Simon Zerafa (@SimonZerafa) 1 октября 2015
Пользователям проекта необходимо не только поменять свой пароль на Patreon, но и изменить этот пароль на других сайтах, в том случае, если они использовали его повторно. А лучше всего, разумеется, на разных ресурсах всегда использовать разные случайно созданные пароли.
Платформа Patreon, базирующаяся в Сан-Франциско, была создана в 2013 году музыкантом Джеком Коунтом и разработчиком Сэмом Ямом. Она позволяет различным художникам, музыкантам и другим деятелям искусств получать финансирование на периодической основе от всех желающих. В данный момент платформа получает в виде пожертвований несколько миллионов долларов ежемесячно. Комиссия проекта составляет 5% от переводов.