Criminelen zetten database van gekraakte crowdfundingsite Patreon online

Criminelen hebben de, naar het zich laat aanzien, complete database van de deze week gehackte crowdfundingsite Patreon online gezet. Het bestand van 14GB bevat onder andere 2,3 miljoen e-mailadressen en persoonlijke berichten van gebruikers.

Woensdag liet Patreon weten dat criminelen toegang tot de database hadden gekregen via een debug-versie van de site die niet achter een firewall stond. Inmiddels hebben de daders de gegevens die ze hebben buitgemaakt op verschillende plekken op internet online gezet. Patreon is een crowdfundingsite waarop gebruikers geld kunnen doneren aan mensen die werkzaam zijn in de creatieve sector, zoals muzikanten en YouTube-videomakers.

Volgens beveiligingsonderzoeker Troy Hunt bevat het bestand van bijna 14GB 2,3 miljoen unieke e-mailadressen, persoonlijke berichten en details over campagnes en donaties, waarmee onder andere op straat komt te liggen wie welke artiest steunt en hoeveel die laatste ontvangen. Wachtwoorden waren gehashed via Bcrypt, zegt Hunt tegen Ars Technica, waardoor de kans niet groot is dat deze gekraakt zijn, al bestaat de mogelijkheid dat kwaadwillenden het ontsleutelen kunnen versnellen als ze ontwerpfouten in de buitgemaakte code vinden.

Een van de personen die via zijn site toegang biedt tot het bestand, maar zelf niet betrokken is bij de hack, claimt dat ook privé-ssl-sleutels in de database van Patreon te vinden zijn.

Patreon hack datadump

IT-banen

Reacties (74)

mOrPhie 2 oktober 2015 09:54

Best wel balen dat nu net Patreon dit moet overkomen. Patreon richt zich op de indie, op diegenen die content maken op het internet en daarvan willen kunnen leven. De CEO, Jack Conte, wordt niet betaald en dividend wordt teruggeinvesteerd in het bedrijf. Een bedrijf met passie en een echte missie.

Het zal een les blijken voor ze, waarbij ze sterk zullen investeren in beveiliging en borging van kwaliteit. In dat opzicht is het goed dat het is gebeurd. Maar het publiceren van de data is buiten alle proporties en dat heeft Patreon niet verdiend...

Bundin @mOrPhie • 2 oktober 2015 10:40

Geen enkel bedrijf verdient dit, indie-vriendelijk of niet. Of beter: klanten van geen enkel bedrijf verdienen dit.

Maar ook sympathieke organisaties moeten hun shit op orde hebben. Dat was overduidelijk niet het geval, ze hebben een verantwoordelijkheid om userdata veilig te bewaren. Ik heb dus niet meer (of minder) medelijden met deze toko dan met anderen.

Verwijderd @Bundin • 2 oktober 2015 11:28

Maar ook sympathieke organisaties moeten hun shit op orde hebben. Dat was overduidelijk niet het geval, ze hebben een verantwoordelijkheid om userdata veilig te bewaren. Ik heb dus niet meer (of minder) medelijden met deze toko dan met anderen.

Dit is enkel waar omdat we het normaal zijn beginnen vinden dat als iets niet goed beveiligd is er dan zomaar mag worden ingebroken. Een beetje de wereld op zijn kop!

Creesch @Verwijderd • 2 oktober 2015 12:12

Het heeft niks te maken met het normaal vinden en zeker niet zo dat mensen hier anders over zijn gaan denken. Het is van alle tijden dat als je iets niet beveiligt of er een gat zit in je beveiliging dat er altijd nare personen zijn die daar misbruik van zullen maken.
Zeker in gevallen waar er ook nog iets van waarde te bemachtingen valt.

Dit is zo voor websites (waar informatie waardevol) maar ook voor offline zaken zoals je eigen huis, bedrijven, etc.

Het internet is wat dat betreft echt niet anders dan de offline wereld.

Tribits @Creesch • 2 oktober 2015 13:31

Het heeft niks te maken met het normaal vinden en zeker niet zo dat mensen hier anders over zijn gaan denken.

Normaal vinden is veel gezegd, maar je ziet wel dat er bij gegevensdiefstal altijd één of andere verklaring van de daders komt waarin ze hun acties proberen te rechtvaardigen, en een deel van het publiek gaat daar ook nog al makkelijk in mee. Dat is een groot verschil met andere vormen van inbraak, ik heb nog nooit gehoord van een inbreker die zijn daden goed probeert te praten of een burger die daar begrip voor heeft.

Nu is het wel zo dat er met het aantonen van beveiligingslekken wel een publiek doel gediend wordt, de privacy van de gebruikers van de betreffende site is toch in het geding. Dat is een ander belangrijk verschil met gewone inbraken. Het lijkt leuk dat dat publieke doel ingevuld wordt door white hat hackers, maar probleem blijft toch wel dat veel hackers uit deze groep het niet zo nauw nemen met de regels voor ethisch hacken. Als we dat normaal gaan vinden is volgens mij het hek van de dam, en kan zelfs een black hat zich met een dun verhaaltje voordoen als ethisch hacker.

[Reactie gewijzigd door Tribits op 23 juli 2024 11:00]

Annihlator @Verwijderd • 2 oktober 2015 13:36

Ik vind het een sterkere redenering om te stellen dat jij het normaal vindt om als iets mogelijk niet goed beveiligd is, je dat zo laat. En als iemand daar misbruik van maakt, zie je daar ook nog een probleem in...

Bundin @Verwijderd • 2 oktober 2015 15:01

Ik zeg ook niet dat de hackers niet fout zitten, dat zitten ze zeker wel. Maar er is mijns inziens een plicht om voor afdoende bescherming te zorgen wanneer je het hebt over userdata. Een debugversie aan het internet hangen zonder firewall ertussen is gewoon prutswerk. Dat het een sympathiek bedrijf is verandert daar niks aan.

Als ik mijn fiets niet op slot zet en het ding wordt gejat, dan keert mijn fietsverzekering niet uit en noemen mijn vrienden me inderdaad een sukkel. Zonder braaksporen heb je ook een probleem met je inboedelverzekering. De inbreker zit hartstikke fout, maar ook jij hebt verantwoordelijkheid.

Cergorach @Bundin • 2 oktober 2015 17:43

Bij bedrijven die vele miljoenen zo niet miljarden omzetten en het vertikken om daar wat van uit te geven aan de beveiliging van hun data is imho gewoon vragen om problemen en dergelijke bedrijven mogen daar dan ook hard mee geconfronteerd worden. Iets dergelijks hacken is nog altijd strafbaar (en moet ook bestraft worden).

Maar Patreon is geen lief klein bedrijfje, daar is al ruim $17 miljoen in geïnvesteerd, daar mag toch wel een stevig portie in beveiliging van je primaire inkomsten bron worden gestoken. Daar komt dan nog 5% van $1+ miljoen/maand bij sinds een jaar. Ik snap ook niet waarom een debug versie met productie data werkt en aan een extern netwerk wordt gehangen...

Maar ik snap het idee dat Patreon een vriendelijker gezicht heeft naar consumenten en content makers dan bv. een Sony...

pwghost @Bundin • 2 oktober 2015 13:18

Is hetzelfde als zeggen he sukkel je fiets is gestile. omdat die niet op slot stond in de achtertuin. Wereld is beetje omgekeerd geworden.

Daarnaast bind ik nogal verschil of het vrijwilligers werk is of bedrijf met winstoogmerk ;-)

En daarnaast wat morpie ook zei dit verdient hij niet. Probeertje juist mensen de optie te geven om geld te kunnen leven van hun creativiteit zodat ze ook nieuwe dingen kinnen blijven doen . why should you hack them ? To make a point?

efari @mOrPhie • 3 oktober 2015 02:14

De CEO, Jack Conte, wordt niet betaald en ...

nou ja, hij wordt inderdaad niet betaald voor zijn rol als CEO,
maar (toevallig of niet?) is hij wel één van de meest verdienende creators op Patreon, dus hij verdient daar wel zijn brood mee...

mOrPhie @efari • 3 oktober 2015 15:11

Zeker.

Bedenk je wel dat hij dure videoclips maakt waar hij serieus geld in investeert.

Zoals deze: https://www.youtube.com/watch?v=mZ02alEkbLw

David Mulder @mOrPhie • 2 oktober 2015 11:47

Inderdaad, heb zelf (nog) niemand gesupport via patreon, maar wel al meerdere keren overwogen en het is een echt gaaf en hardwerkend bedrijf en goedwerkende dienst van wat ik van anderen weet.

Alhoewel het dus inhoudelijk net zo erg is als veel andere grote hacks leef ik een stuk meer met hun mee en ik hoop dat dit niet betekend dat ze het vertrouwen verliezen van een deel van hun gebruikers.

anargeek @PredCaliber2 • 2 oktober 2015 13:15

Die specialismen worden alleen getoond bij artikelen die dezelfde tags hebben. VR is bij dit artikel niet van toepassing

David Mulder @PredCaliber2 • 2 oktober 2015 13:01

Ik weet niet zeker wat je vraag is? Één van m'n specialises is inderdaad in het vlak van VR zoals je had kunnen zien als je m'n profiel opende, maar ik zie niet in hoe dat te maken heeft met deze hack bij patreon. Graag iets meer uitleg/context?

David Mulder @PredCaliber2 • 2 oktober 2015 14:57

Want een mens mag maar in één ding geïnteresseerd zijn? Maar goed, vind het apart dat je het het wel waard vind om een comment te schrijven, maar één klik om te checken of je comment wel of niet klopt is te veel werk? Logisch ja.

Hoe dan ook, als je iets interessant vind en er mee werkt dan deel je je passie omdat je dat leuk vind, iedere comment reflecteert je interesses, en blijkbaar zou jouw interesses en smaken wat... uniek

anargeek 2 oktober 2015 10:26

Ik kreeg gister de volgende mail van Patreon maar toen was er nog geen sprake van dat de hele DB was gedownload:

There was unauthorized access to registered names, email addresses, posts, and some shipping addresses. Additionally, some billing addresses that were added prior to 2014 were also accessed. We do not store full credit card numbers on our servers and no credit card numbers were compromised. Although accessed, all social security numbers and tax form information remain safely encrypted, and all passwords securely hashed. No specific action is required of you, but as a precaution we recommend that all users update their passwords on Patreon.

Wat betreft de private SSL keys, daarover zegt Jack Conte op zijn blog het volgende:

- There was no unauthorized access of our production servers. The development server included a snapshot of our production database, which included encrypted data.
- The development server did not have any private keys that would allow login access to any other server. We verified our authorization logs on our production servers to ensure that there was not any unauthorized access.
- As a precaution, we have rotated our private keys and API keys that would allow access to third-party services that we use.anywhere.

Nu heb ik geen creditcard gegevens uitstaan bij Patreon (ik betaal via paypal) dus ik heb alleen braaf mijn wachtwoord veranderd. Het zal mij voorlopig nog niet ervan weerhouden door te gaan met het ondersteunen van Youtubers. Ik vind het een mooie service, in plaats van betaling d.m.v advertenties kan ik nu zelf bepalen hoeveel ik betaal aan mijn favoriete kanalen. En je krijgt er nog privileges voor terug ook

[Reactie gewijzigd door anargeek op 23 juli 2024 11:00]

Enai 2 oktober 2015 08:48

Dit soort nieuws is gewoon deprimerend.

Ontwerpfouten of niet, dit is nu net een site die het goed voorheeft met de wereld.

Verwijderd @Enai • 2 oktober 2015 09:01

Werkelijk? Crowdfunding websites hebben het alleen goed voor met hun eigen portemonnee. Ze verdienen klauwen met geld aan alle pledges.

Begrijp me niet verkeerd, het is leuk dat ze er zijn en mensen hebben er veel aan. Maar het is geen liefdadigheid.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 11:00]

mOrPhie @Verwijderd • 2 oktober 2015 09:51

Zoek Jack Conte op op YouTube. Hij is de, onbetaalde, CEO van Petreon. Hij ontvangt zelfs geen dividend, dat investeren ze terug. Hij verdient geld met het maken van content.

Wulfklaue @mOrPhie • 2 oktober 2015 12:20

Er zijn veel CEO's dat geen cent verdienen op papier. Of zichzelf 1$/€ betalen als loon. Maar het echte geld zit hem ergens anders.

Men heeft vaak: Heel wat kosten dat jij en ik betalen van ons loontje, dat zij vergoed verkrijgen via hun firma. Namelijk bedrijfswagen, tankkaart van de firma, huis als tak van de firma ( vaak een dochter immo firma ) enz...

Dan is het andere aspect daar... Men is vaak in die gevallen eigenaar van de firma of deel eigenaar. M.a.w, zelf als men geen loon trekt, dan heeft men vaak een opbouwende waarde via de firma zelf.

Ik heb bazen gehad dat klaagde over hoeveel hun personeel verdiende en zichzelf in de bloemen zetten omdat ze maar 1$/1€ verdiende. Maar ze vergaten wel te vertellen dat ze bijna geen levenskosten meer hadden omdat alles rechtstreeks of onrechtstreeks betaald werd door de firma. Dat hun woning in een dochter immo firma veiliggesteld was. Dat als ze loon zouden trekken, dat ze ook volop de taksen enz moeten betalen maar door deze omweg, omzeilde men dit "probleem".

Er zullen mensen zijn dat een goed hart hebben maar kan je verzekeren dat de meeste CEO's dat zogezegd geen geld verdienen, dat ze onrechtstreeks hun zakken vullen. Iedere half deftige boekhouder zou zo een constructie onmiddellijk aanraden aan zijn klanten als ze beetje deftig durven verdienen.

M.a.w, gans de "onbetaalde" toestand is vaak een rookscherm. Klinkt mooi op een PR of als je tegen je personeel praat. Maar men zal geen boterham missen hoor.

mOrPhie @Wulfklaue • 2 oktober 2015 12:41

Er zijn veel CEO's dat geen cent verdienen op papier. Of zichzelf 1$/€ betalen als loon. Maar het echte geld zit hem ergens anders.

Jack Conte is de founder van Patreon vannuit idealistisch oogpunt. Hetgeen jij beschrijft herken ik Jack conte absoluut niet in. Zoek hem maar eens op. Ik volg Jack Conte al jaren (ver voor zijn Patreon-tijd) en heb niets minder dan enorm veel respect voor hem.

robvanwijk

Hackers
Netwerk en systeembeheer

@Wulfklaue • 2 oktober 2015 12:42

(..) veel CEO's (..) vaak (..) vaak (..) vaak (..) ik heb bazen gehad (..) de meeste CEO's

Allemaal leuk en aardig, maar als je reageert op die post van mOrPhie is het volkomen irrelevant of veel CEOs de boel belazeren. Als je kunt onderbouwen dat deze CEO (Jack Conte) van zulk soort constructies gebruik maakt, prima, da's relevant en interessant, maar een rant over hoe andere CEOs zich misdragen is volkomen offtopic.

moozzuzz @robvanwijk • 2 oktober 2015 19:03

Zijn punt enigszins omfloerst/onhandig verwoord is dat op internet alles om imago en PR draait. Niemand kan overleven zonder inkomsten (of je moet een rijkeluiszoontje zijn - in dat geval is het mi een pak minder indrukwekkend om geen inkomsten te hebben). Dat de man goed investeert in z'n blijkbaar kerngezonde bedrijf is lovenswaardig (alvast als economisch principe). Maar niemand is heiliger dan de paus. En blijkbaar is het bedrijf 17M$ waard, niet slecht als pensioenbonus.

Verwijderd @Verwijderd • 2 oktober 2015 09:04

Ja nou en? Ze leveren een service en daar mag best aan verdiend worden.
Niemand houd je tegen zelf een donatie pagina op te zetten.

Verwijderd @Verwijderd • 2 oktober 2015 09:10

Ik had het over het "goed voorhebben met de wereld". Alsof andere bedrijven het dat niet hebben?

vinkjb @Verwijderd • 2 oktober 2015 09:27

Volkswagen heeft het op papier ook goed voor met de wereld, alleen besodemieteren ze de boel in het echt.

REDSD

@vinkjb • 2 oktober 2015 09:41

Patreon is geloof ik opgezet door Youtube artiesten die een platform wilden bieden voor film/youtube/muziek/etc makers. Sommige makers zetten hun reclame uit(zoals Jim Sterling) waardoor iedereen reclamevrij kan kijken.

Andere gebruiken het platform om te kunnen creëen zonder compleet afhankelijk te zijn van reclame.

Het idee is een stuk nobelere dan een bedrijf met aandeelhouders waar het hoogste doel meer winst te halen dan het vorige jaar is.
Maar sinds we in een wereld leven waar we geld nodig hebben om te overleven is het niet zo gek dat de makers van Patreon ook wat geld willen verdienen.

Men denkt altijd maar dat dingen die nobel zijn ook gratis moeten zijn, maar er is tegenwoordig al zoveel gratis en hoe dankbaar is iedereen daarvoor?

Pas als alles wat gratis is, weg is, dan pas merk je hoe veel je gebruik maak van dingen die mensen in hun vrije tijd maken voor anderen.

[Reactie gewijzigd door REDSD op 23 juli 2024 11:00]

comecme @REDSD • 2 oktober 2015 21:52

Sommige makers zetten hun reclame uit(zoals Jim Sterling) waardoor iedereen reclame vrij kan kijken.

Reclame is toch altijd al vrij te kijken? of bedoel je reclamevrij?

ashwin911 @Verwijderd • 2 oktober 2015 10:14

Kickstarter heeft z'n bedrijfs vorm een week of twee geleden omgezet naar een Public Benefit Corporation. Sommige crowdfunding bedrijven streven dus echt naar een doel die verder gaat dan de bottomline.

Dit schrijft Kickstarter in zijn mission statement:
Benefit Corporations are for-profit companies that are obligated to consider the impact of their decisions on society, not only shareholders. Radically, positive impact on society becomes part of a Benefit Corporation’s legally defined goals. When a company becomes a Benefit Corporation, it can choose to make further commitments. In our new charter (shown below) we spell out our mission, our values, and the commitments we have made to pursue them.
https://www.kickstarter.com/charter

moozzuzz @ashwin911 • 2 oktober 2015 19:06

Alle grote beursgenoteerde corporations hebben CSR afdelingen met goed klinkende missionstatements... Dit soort publicaties doet me met enig hartzeer denken aan de do-not-evil-slogan van Google van een decennium geleden.

Kalief @Verwijderd • 2 oktober 2015 09:09

Alsof al die artiesten en tekenaars oliedom zijn of beslist zichzelf willen benadelen door Patreon te gebruiken.

nst6ldr @Enai • 2 oktober 2015 09:10

Dat weet ik nog zo net niet eigenlijk. Het is vrij voor iedereen om geld binnen te harken, ook figuren met dubieuze politieke agenda's. ^{*kuch* Zoe Quinn} Vooral veel artiesten en andere makers van audiovisueel materiaal die geld kunnen verdienen middels verkoop lijken gebruik te maken van deze site, ik kan dan niet met een strak gezicht zeggen dat ze het goed voor hebben met de wereld.

@Armada651: voor off-topic materiaal krijg je gewoon een 0 of -1 (waarvan akte

), dus neem het mij niet kwalijk als ik niet van mijn originele punt afhaak om een betoog te houden over iets semi gerelateerds.

[Reactie gewijzigd door nst6ldr op 23 juli 2024 11:00]

lepel @nst6ldr • 2 oktober 2015 09:19

Ik ken het ook vooral van de Tumblr mensen die maar vooral zeggen "kijk hoe zielig ik ben, geef mij alsjeblieft geld".

Al in al slechte zaak, ik vraag mij af wat het doel was van de hack. Als ze de database online zetten neem ik aan dat ze een of ander doel in ogen hebben en het ze niet gaat om het vergaren van persoonlijke informatie, want waarom zou je dat delen met de wereld.

Armada651 @nst6ldr • 2 oktober 2015 09:41

ook figuren met dubieuze politieke agenda's. ^{*kuch* Zoe Quinn}

Naar mijn inzien hebben degene die verwijten naar haar hoofd gooien zonder enkele onderbouwing pas echt een dubieuze agenda.

RoestVrijStaal @Enai • 2 oktober 2015 11:14

Het is vooral een site waar artiesten hun moois -dat vroeger gratis te benaderen was op bijv. DeviantArt- achter een paywall te zetten. Althans daarvoor wordt het grotendeels voor gebruikt.

TheCapK 2 oktober 2015 09:00

Wat ik vreemd vind is dat er wordt gezegd dat criminelen dit hebben gedaan maar ik vraag me af wat voor criminelen daarna die informatie openbaar wegzetten. Echte criminelen zouden die informatie toch juist achterhouden om er hun voordeel mee te doen?
Natuurlijk is het een illegale actie en kan je daarom zeggen dat het criminelen zijn maar ik denk dat dit eerder weer een gevalletje: "eens kijken hoe goed dit beveiligd is" is en dat het online zetten gebeurd is nadat er misschien zelfs wel onderling contact tussen de hackers en de site is geweest.
Of het online zetten is een reactie op het feit dat ze publiekelijk voor criminelen zijn uitgemaakt...

Auredium @TheCapK • 2 oktober 2015 09:14

Er kunnen meerdere redenen achter zitten. Wellicht waren het concurrenten van Patreon bijvoorbeeld.
Verder zie je tegenwoordig wel vaker databasedumps. Criminelen voeren deze dan door, dumpen deze (soms als er niet aan bepaalde eisen is voldaan) en later wordt deze dan opgepikt door geheime diensten die de geven crosslinken met andere data die zij hebben van mensen op zoek naar nieuwe zwakke punten bij mensen. Net zoals China en Rusland de gelekte database van Ashley madison gebruikt hebben om zwakke punten te vinden in de Amerikaanse overheid (veel leden van Ashley Madison hadden .gov of .mil e-mail adressen).

Je kunt er vanuit gaan dat ook deze database van Patreon gebruikt wordt voor dergelijke doeleindes en sommige criminelen worden wellicht betaald voor dergelijke dumps te maken. Denk bijvoorbeeld aan de Dukes die hacken via malware en (waarschijnlijk) door Rusland worden beschermt.

Het is niet meer de jaren 80 dat hacken voor nog hoofdzakelijk voor de lol of repetatie wordt gedaan.

Verwijderd @Auredium • 2 oktober 2015 13:39

Net zoals China en Rusland de gelekte database van Ashley madison gebruikt hebben om zwakke punten te vinden in de Amerikaanse overheid (veel leden van Ashley Madison hadden .gov of .mil e-mail adressen).

En dat weet je door je eigen contacten met die geheime diensten? Of omdat die daarover een persbericht hebben uitgegeven?

breew @TheCapK • 2 oktober 2015 09:12

Wellicht hebben ze eerst geprobeerd om Patreon te chanteren: "Geef ons $ .. anders zetten we de boel online". Niet op ingegaan, en nu staat de boel online, zodat ze bij hun volgende roofactie aan het slachtoffer kunnen melden: "Je wilt toch niet zo eindeigen als Patreon? Geef ons $ ...".

diederikhu @TheCapK • 2 oktober 2015 09:15

In dat geval zet je dergelijke gegevens niet openbaar online. Inbreken bij een bedrijf om naderhand het archief op straat te zetten in het centrum van de stad is nog steeds een criminele daad, al mocht je daar geen voordeel mee behalen.

LOTG @TheCapK • 2 oktober 2015 09:37

Je breekt ergens in en zet vervolgens alle spullen op straat? Dat vind ik toch een criminele actie, ook al heb je geen financieel gewin.

Dit is geen gevalletje beveiliging testen, maar dit is gewoon pure diefstal.

En als je niet voor crimineel uitgemaakt wilt worden, dan moet je niet inbreken. En als je als reactie de gegevens van duizenden mensen op straat gooit om dat je het er niet mee eens bent, dan ben je ook een crimineel.

The Lord @TheCapK • 2 oktober 2015 09:38

Er is een strafbaar feit gepleegd; de aanduiding criminelen is dus inderdaad feitelijk correct. Dit staat volledig los van de bedoeling.

Een aangifte en/of vervolging is in veel gevallen te voorkomen door het pad van 'responsible disclosure' te volgen, maar dat is in deze overduidelijk niet gedaan. Zodoende lijkt mij de aanduiding crimineel geheel terecht.

ghangster @TheCapK • 2 oktober 2015 09:38

Of er nou een goede bedoeling of een egocentrische bedoeling achter zat is irrelevant voor het feit dat ze een strafbare handeling hebben uitgevoerd.

Bor Coördinator Frontpage Admins / FP Powermod @TheCapK • 2 oktober 2015 09:44

Onderschat ook de waarde van imagoschade niet. Je kunt een bedrijf redelijk ten gronde richten met dit soort acties, dat is voor een concurrent soms ook heel veel waard. Er zijn meerdere redenen te bedenken om informatie te openbaren. Crimineel is het overigens al wanneer er ingebroken is. De titel dekt de lading.

houseparty @TheCapK • 2 oktober 2015 10:20

Afpersing en chantage zijn ook gangbare activiteiten van "echte" criminelen hoor.

In dat kader hebben ze wellicht geprobeerd Patreon te chanteren, of willen ze de meest verdieiende accounts afpersen doordat er nu gegevens op straat liggen.

Tevens is het natuurlijk zo dat het "stelen" van de gegevens an sich al gewoon een criminele daad is, wat de intentie er van ook moge zijn, in opdracht van een derde partij of niet.

moozzuzz @TheCapK • 2 oktober 2015 19:10

Laten we niet opnieuw vervallen in het woordspel-discussie "crimineel" of niet. Woordtechnisch is het gebruik van crimineel correct, gevoelsmatig is het voor velen onder ons een te zware bewoording.

Joostlek 2 oktober 2015 08:49

Waarom bevat een debug site de hele database? Is het dan niet handiger als je dan den test database hebt?

Verwijderd @Joostlek • 2 oktober 2015 09:06

Een grote hoeveelheid testdata is vrij kostbaar (langdurig) om te maken. Dus vinden bedrijven het "makkelijker" om als test echte data te gebruiken.

Het is fout, maar zeker niet ondenkbaar en komt heel vaak voor.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 11:00]

Fluttershy @Verwijderd • 2 oktober 2015 09:13

Je moest eens weten wat je als ontwikkelaar allemaal tegen komt aan data...

"Hier, neem maar een kopie van de productiedatabase voor ontwikkelwerk. We hadden geen zin/tijd om de boel te anonimiseren; krabbel deze NDA maar en moel houwe!"

t1mmy @Fluttershy • 2 oktober 2015 09:23

Zelfs zonder NDA heb ik dat wel eens gezien, recent nog, en ook niet bij een bepaald klein merk. (Zelfs de product DB passwords en configuraties stonden nog in de code, maar ik denk wel dat dat IP restricted is)

Dennahz @t1mmy • 2 oktober 2015 09:37

Dat hoop je

Je zou je verbazen over het aantal veiligheidslekken bij grote bedrijven.

t1mmy @Dennahz • 2 oktober 2015 10:47

Moah, gezien hoe strict ze bij andere dingen zijn zou mij dat verbazen. Maar ik ga het niet eens proberen dus ik zal het nooit weten

trogdor @t1mmy • 2 oktober 2015 11:41

Ik zet zelf altijd mijn zwarte hoed op en doe het juist wel.
Mocht je ontdekken dat het lek is dan score je met een melding daarvan zeker punten.
Gister nog precies zo een casus gehad bij een klant, unencrypted kookies. Als ze een worst aan tekens zien en niet weten dat het slechts met base64 is verpakt, tja...

Verwijderd @Fluttershy • 2 oktober 2015 09:17

Ik ben ontwikkelaar, en je hebt geheel gelijk

maniak @Fluttershy • 2 oktober 2015 09:23

Ik ben ook ontwikkelaar en het klopt dat de productie database gebruikt wordt voor ontwikkeldoeleinden. Dit is vaak niet zozeer luiheid maar meer om te werken met productie data zodat de kans op fouten tijdens een deploy verlaagt wordt. Gelukkig bevat onze productie data alleen maar CMS meuk voor de websites

Enai @Fluttershy • 2 oktober 2015 10:38

Wat ik ooit eens tegenkwam:

Them: "Testen jullie maar op deze geanonimiseerde versie van de productiedatabase. Je kunt inloggen als eender welke gebruiker zonder wachtwoord en je moet geen NDA tekenen want alle gegevens zijn fake."

Me (al snel): "Hey, wist je al dat als je inlogt als een gebruiker op de test environment en je vervolgens de URL aanpast, je ingelogd bent als dezelfde gebruiker op productie?"

Them: "Oeps... *krik krak* Fixed, thanks!"

Me (enkele dagen later): "Waarom krijg ik uit productie een mail dat mijn woonwerktraject gewijzigd is nadat ik in de test environment mijn adres verander?"

trogdor @Enai • 2 oktober 2015 11:43

Daar moet iemand een flinke schop onder zijn aars krijgen, dat is duidelijk...

Stove @Joostlek • 2 oktober 2015 09:11

Een debug versie van de website kan toch even goed dezelfde database gebruiken als de gewone website.

Verwijderd @Stove • 2 oktober 2015 09:23

Je geeft aan (iets) toegang tot de database. Waar zie jij het probleem niet? Als (iets) staat voor íeder ander ding dan het eigenlijke programma.

Tweekzor @Joostlek • 2 oktober 2015 09:21

Het zou een 1-op-1 kopie kunnen zijn zodat de debugsite echte data bevat om mee te testen en er niet continue testdata gevuld hoeft te worden. Dan kunnen ze niet per ongeluk de echte data overschrijven maar is het bij een lek nog wel onveilig.

trogdor @Tweekzor • 2 oktober 2015 11:45

Dat is dus precies het probleem ja.
Om dat soort shit te voorkomen moet je de data in de testdatabase dus anonymiseren.

flippy 2 oktober 2015 09:11

Wat zijn nu de gevolgen voor de gebruikers dan? Hun email adres ligt op straat dus kan je je spamfilter eens goed testeb. Maar verder?

floppie86 @flippy • 2 oktober 2015 09:17

Niet zoveel volgens mij, niet voor niets dat de hackers het allemaal voor niks op internet hebben gekieperd. Creditcard loopt bijvoorbeeld niet via hun maar via Amazon (of vast ook wel Paypal inmiddels).

Verwijderd @flippy • 2 oktober 2015 11:20

Maar verder?

Jantje Doedels is patreon van Nieuw Fascistisch Verbond, Heil Hoppaaa en jewdiepie.

Vast geen sympathiek persoon, die Doedels, maar dat soort informatie ligt nu dus ook op straat.

Maria Geldopzak, woonachtig te Kommaarhalen 10, 1337QQ te Rustigdorpje is patreon van KunstMetEenK voor $500/maand.
Moet ze zelf weten, natuurlijk, maar toch wel interessant voor het dievengilde dat iemand $500 per maand te besteden heeft aan wat filmpjes.

Zo zal er nog wel meer interessante data in zitten voor mensen die niet veel goeds in de zin hebben. Ook zit er, zoals bij elk lek, interessante data in voor marketingbureau's (zie ook weer bovenstaande), analytics groepjes, onderzoekers (vingers er niet aan branden? hebben ze nog vingers over dan?) etc.

Auredium 2 oktober 2015 08:57

Patreon is een hele grote als hack.
Leuk is het voor veel mensen niet. Maar het wordt al helemaal erg als je iemand doet funden waarvan je het liever niet aan de grote klok hangt. Controversiele personen of groepen mensen die zich in het red-light district bevinden van de internetwereld.

Wat ik echter erger vind is dat ook heel veel goede initiatieven afhankelijk zijn van Patreon om uberhaupt hun content te kunnen maken en publiceren. Die kunnen nu potentieel patreons verliezen puur door deze hack.

Was de debug database in behandeling bij Patreon zelf of bij een externe firma voor redenen? Wat ook de oorzaak is; het is natuurlijk erg slecht en ik vermoed dat Patreon alleen al zal worden gestraft door de afname van gebruikers van het platform.

Psyonara @Auredium • 2 oktober 2015 09:15

Zullen vast wel gebruikes zijn die de moed hebben op gegeven, maar zijn er andere alternatieven van Patreon?

En in dat opzicht zullen de gebruikers niet veel keus hebben, of zelfs niet. En veel die subs doen via Patreon zullen mogelijk ook niet weer graag een 2de account elders willen hebben e.d.
Dubbel gegevens verspreid e.d.

R009 2 oktober 2015 08:52

Onbegrijpelijk dat er de dag van vandaag nog altijd bedrijfsgegevens niet achter een firewall staan. Je zou toch denken dat netwerk en systeembeheerders toch op de hoogte zijn van potentiele gevaren en daar rekening mee houden bij het ontwerpen van hun structuur.

josipbroz 2 oktober 2015 09:53

Wat probeert men hiermee te bereiken\bewijzen. Dat de security slecht is? Dit kan ook op een ander nette manier lijkt mij.
Of iemand is door de betreffende instantie op zin teentjes getrapt ,maar daar hoeft niet iedereen dupe van te zijn.

mgerkema92 3 oktober 2015 16:23

Ik vind het maar een sneue actie. Een beetje profijt proberen te hebben van iemand anders werk. Kijk hack je nou en raporteer je meteen een lek aan zo'n bedrijf, is het prima. Maar dit is gewoon sneu.

Op dit item kan niet meer gereageerd worden.

Criminelen zetten database van gekraakte crowdfundingsite Patreon online

Lees meer

IT-banen

Reacties (74)

Sorteer op:

Weergave: