В сеть попали данные пользователей и исходные коды краудфандинга Patreon

@troyhunt ^[1] dm me if you want the @Patreon ^[2] dump :) pic.twitter.com/C19XseLEmn ^[3]

— amlolz (@amlolzz) 1 октября 2015 ^[4]

Краудфандинговая платформа Patreon ^[5], позволяющая пользователям почувствовать себя меценатами и поддерживать творческих людей при помощи периодических пожертвований, была взломана в конце сентября ^[6]. Неизвестный хакер опубликовал архив объёмом более 15 Гб ^[7], содержащий в себе различную персональную информацию о пользователях сайта и его исходные коды.

1 октября сооснователь проекта Джек Коунт [Jack Conte] в сообщении ^[8], предназначенном для всех пользователей сайта, пояснил, что из-за ошибки программистов на сайте некоторое время был открыт доступ к версии сайта, находящейся в разработке. В результате, через эту лазейку неизвестным хакерам удалось добраться до базы данных проекта, откуда и были скачаны имена, адреса электронной почты, комментарии, домашние адреса (указанные для доставки товаров) и адреса для счетов.

Коунт особо подчеркнул, что поскольку компания не хранит данные по банковским картам, эта информация хакерам не досталась. Кроме того, он уверил общественность, что пароли и номера карт социального страхования были захэшированы через bcrypt ключом 2048-bit RSA с применением «соли», поэтому, по его словам, опасаться доступа к этим данным нет. Тем не менее, он всё-таки порекомендовал пользователям в качестве предосторожности поменять пароли.

Предосторожность никогда не бывает лишней – ведь позже выяснилось, что кроме доступа к базе данных, хакеры смогли скачать ещё и исходные коды сайта. А никакая криптостойкость ключа не поможет, если в алгоритме работы с чувствительными данными будет допущена ошибка. Именно так случилось с данными, утекшими с недавно взломанного сайта знакомств для взрослых Ashley Madison ^[9]. Некорректное применение технологий привело к тому, что все пароли, после тщательного изучения механизмы работы с хэшированием, удалось вскрыть ^[10].

Специалист по безопасности Трой Хант [Troy Hunt],- владелец сайта "have i been pwned? ^[11]", где желающие могут проверить, не попал ли их e-mail в общий доступ в результате каких-то утечек,- уже успел пройтись по архиву ^[12]данных. Хант подтвердил аутентичность архива, и нашёл в нём более 2 миллионов уникальных адресов электронной почты – в частности, и свой собственный. Также, по его словам, используя эту базу, вполне возможно связать пользователей с проектами, которым они оказывают поддержку.

Позднее многие пользователи Patreon подтвердили через Twitter, что обнаружили свои данные в архиве. Судя по его содержимому, последние записи перед взломом были созданы в базе 24 сентября.

@thorsheim ^[13] @Asher_Wolf ^[14] @troyhunt ^[1] My account details were in the released dump :-/

— Simon Zerafa (@SimonZerafa) 1 октября 2015 ^[15]

Пользователям проекта необходимо не только поменять свой пароль на Patreon, но и изменить этот пароль на других сайтах, в том случае, если они использовали его повторно. А лучше всего, разумеется, на разных ресурсах всегда использовать разные случайно созданные пароли.

Платформа Patreon, базирующаяся в Сан-Франциско, была создана в 2013 году музыкантом Джеком Коунтом и разработчиком Сэмом Ямом. Она позволяет различным художникам, музыкантам и другим деятелям искусств получать финансирование на периодической основе от всех желающих. В данный момент платформа получает в виде пожертвований несколько миллионов долларов ежемесячно. Комиссия проекта составляет 5% от переводов.

Автор: SLY_G

Источник ^[16]