Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties

Criminelen hebben de, naar het zich laat aanzien, complete database van de deze week gehackte crowdfundingsite Patreon online gezet. Het bestand van 14GB bevat onder andere 2,3 miljoen e-mailadressen en persoonlijke berichten van gebruikers.

Woensdag liet Patreon weten dat criminelen toegang tot de database hadden gekregen via een debug-versie van de site die niet achter een firewall stond. Inmiddels hebben de daders de gegevens die ze hebben buitgemaakt op verschillende plekken op internet online gezet. Patreon is een crowdfundingsite waarop gebruikers geld kunnen doneren aan mensen die werkzaam zijn in de creatieve sector, zoals muzikanten en YouTube-videomakers.

Volgens beveiligingsonderzoeker Troy Hunt bevat het bestand van bijna 14GB 2,3 miljoen unieke e-mailadressen, persoonlijke berichten en details over campagnes en donaties, waarmee onder andere op straat komt te liggen wie welke artiest steunt en hoeveel die laatste ontvangen. Wachtwoorden waren gehashed via Bcrypt, zegt Hunt tegen Ars Technica, waardoor de kans niet groot is dat deze gekraakt zijn, al bestaat de mogelijkheid dat kwaadwillenden het ontsleutelen kunnen versnellen als ze ontwerpfouten in de buitgemaakte code vinden.

Een van de personen die via zijn site toegang biedt tot het bestand, maar zelf niet betrokken is bij de hack, claimt dat ook privé-ssl-sleutels in de database van Patreon te vinden zijn.

Patreon hack datadump

Moderatie-faq Wijzig weergave

Reacties (74)

Best wel balen dat nu net Patreon dit moet overkomen. Patreon richt zich op de indie, op diegenen die content maken op het internet en daarvan willen kunnen leven. De CEO, Jack Conte, wordt niet betaald en dividend wordt teruggeinvesteerd in het bedrijf. Een bedrijf met passie en een echte missie.

Het zal een les blijken voor ze, waarbij ze sterk zullen investeren in beveiliging en borging van kwaliteit. In dat opzicht is het goed dat het is gebeurd. Maar het publiceren van de data is buiten alle proporties en dat heeft Patreon niet verdiend...
Geen enkel bedrijf verdient dit, indie-vriendelijk of niet. Of beter: klanten van geen enkel bedrijf verdienen dit.

Maar ook sympathieke organisaties moeten hun shit op orde hebben. Dat was overduidelijk niet het geval, ze hebben een verantwoordelijkheid om userdata veilig te bewaren. Ik heb dus niet meer (of minder) medelijden met deze toko dan met anderen.
Maar ook sympathieke organisaties moeten hun shit op orde hebben. Dat was overduidelijk niet het geval, ze hebben een verantwoordelijkheid om userdata veilig te bewaren. Ik heb dus niet meer (of minder) medelijden met deze toko dan met anderen.
Dit is enkel waar omdat we het normaal zijn beginnen vinden dat als iets niet goed beveiligd is er dan zomaar mag worden ingebroken. Een beetje de wereld op zijn kop!
Het heeft niks te maken met het normaal vinden en zeker niet zo dat mensen hier anders over zijn gaan denken. Het is van alle tijden dat als je iets niet beveiligt of er een gat zit in je beveiliging dat er altijd nare personen zijn die daar misbruik van zullen maken.
Zeker in gevallen waar er ook nog iets van waarde te bemachtingen valt.

Dit is zo voor websites (waar informatie waardevol) maar ook voor offline zaken zoals je eigen huis, bedrijven, etc.

Het internet is wat dat betreft echt niet anders dan de offline wereld.
Het heeft niks te maken met het normaal vinden en zeker niet zo dat mensen hier anders over zijn gaan denken.
Normaal vinden is veel gezegd, maar je ziet wel dat er bij gegevensdiefstal altijd één of andere verklaring van de daders komt waarin ze hun acties proberen te rechtvaardigen, en een deel van het publiek gaat daar ook nog al makkelijk in mee. Dat is een groot verschil met andere vormen van inbraak, ik heb nog nooit gehoord van een inbreker die zijn daden goed probeert te praten of een burger die daar begrip voor heeft.

Nu is het wel zo dat er met het aantonen van beveiligingslekken wel een publiek doel gediend wordt, de privacy van de gebruikers van de betreffende site is toch in het geding. Dat is een ander belangrijk verschil met gewone inbraken. Het lijkt leuk dat dat publieke doel ingevuld wordt door white hat hackers, maar probleem blijft toch wel dat veel hackers uit deze groep het niet zo nauw nemen met de regels voor ethisch hacken. Als we dat normaal gaan vinden is volgens mij het hek van de dam, en kan zelfs een black hat zich met een dun verhaaltje voordoen als ethisch hacker.

[Reactie gewijzigd door Tribits op 2 oktober 2015 13:32]

Ik vind het een sterkere redenering om te stellen dat jij het normaal vindt om als iets mogelijk niet goed beveiligd is, je dat zo laat. En als iemand daar misbruik van maakt, zie je daar ook nog een probleem in...
Ik zeg ook niet dat de hackers niet fout zitten, dat zitten ze zeker wel. Maar er is mijns inziens een plicht om voor afdoende bescherming te zorgen wanneer je het hebt over userdata. Een debugversie aan het internet hangen zonder firewall ertussen is gewoon prutswerk. Dat het een sympathiek bedrijf is verandert daar niks aan.

Als ik mijn fiets niet op slot zet en het ding wordt gejat, dan keert mijn fietsverzekering niet uit en noemen mijn vrienden me inderdaad een sukkel. Zonder braaksporen heb je ook een probleem met je inboedelverzekering. De inbreker zit hartstikke fout, maar ook jij hebt verantwoordelijkheid.
Bij bedrijven die vele miljoenen zo niet miljarden omzetten en het vertikken om daar wat van uit te geven aan de beveiliging van hun data is imho gewoon vragen om problemen en dergelijke bedrijven mogen daar dan ook hard mee geconfronteerd worden. Iets dergelijks hacken is nog altijd strafbaar (en moet ook bestraft worden).

Maar Patreon is geen lief klein bedrijfje, daar is al ruim $17 miljoen in geïnvesteerd, daar mag toch wel een stevig portie in beveiliging van je primaire inkomsten bron worden gestoken. Daar komt dan nog 5% van $1+ miljoen/maand bij sinds een jaar. Ik snap ook niet waarom een debug versie met productie data werkt en aan een extern netwerk wordt gehangen...

Maar ik snap het idee dat Patreon een vriendelijker gezicht heeft naar consumenten en content makers dan bv. een Sony...
Is hetzelfde als zeggen he sukkel je fiets is gestile. omdat die niet op slot stond in de achtertuin. Wereld is beetje omgekeerd geworden.

Daarnaast bind ik nogal verschil of het vrijwilligers werk is of bedrijf met winstoogmerk ;-)

En daarnaast wat morpie ook zei dit verdient hij niet. Probeertje juist mensen de optie te geven om geld te kunnen leven van hun creativiteit zodat ze ook nieuwe dingen kinnen blijven doen . why should you hack them ? To make a point?
De CEO, Jack Conte, wordt niet betaald en ...
nou ja, hij wordt inderdaad niet betaald voor zijn rol als CEO,
maar (toevallig of niet?) is hij wel één van de meest verdienende creators op Patreon, dus hij verdient daar wel zijn brood mee...
Zeker. :) Bedenk je wel dat hij dure videoclips maakt waar hij serieus geld in investeert. :)
Zoals deze: https://www.youtube.com/watch?v=mZ02alEkbLw
Inderdaad, heb zelf (nog) niemand gesupport via patreon, maar wel al meerdere keren overwogen en het is een echt gaaf en hardwerkend bedrijf en goedwerkende dienst van wat ik van anderen weet.

Alhoewel het dus inhoudelijk net zo erg is als veel andere grote hacks leef ik een stuk meer met hun mee en ik hoop dat dit niet betekend dat ze het vertrouwen verliezen van een deel van hun gebruikers.
Die specialismen worden alleen getoond bij artikelen die dezelfde tags hebben. VR is bij dit artikel niet van toepassing
Ik weet niet zeker wat je vraag is? Één van m'n specialises is inderdaad in het vlak van VR zoals je had kunnen zien als je m'n profiel opende, maar ik zie niet in hoe dat te maken heeft met deze hack bij patreon. Graag iets meer uitleg/context?
Want een mens mag maar in één ding geïnteresseerd zijn? Maar goed, vind het apart dat je het het wel waard vind om een comment te schrijven, maar één klik om te checken of je comment wel of niet klopt is te veel werk? Logisch ja.

Hoe dan ook, als je iets interessant vind en er mee werkt dan deel je je passie omdat je dat leuk vind, iedere comment reflecteert je interesses, en blijkbaar zou jouw interesses en smaken wat... uniek :+ .
Ik kreeg gister de volgende mail van Patreon maar toen was er nog geen sprake van dat de hele DB was gedownload:
There was unauthorized access to registered names, email addresses, posts, and some shipping addresses. Additionally, some billing addresses that were added prior to 2014 were also accessed. We do not store full credit card numbers on our servers and no credit card numbers were compromised. Although accessed, all social security numbers and tax form information remain safely encrypted, and all passwords securely hashed. No specific action is required of you, but as a precaution we recommend that all users update their passwords on Patreon.
Wat betreft de private SSL keys, daarover zegt Jack Conte op zijn blog het volgende:
- There was no unauthorized access of our production servers. The development server included a snapshot of our production database, which included encrypted data.
- The development server did not have any private keys that would allow login access to any other server. We verified our authorization logs on our production servers to ensure that there was not any unauthorized access.
- As a precaution, we have rotated our private keys and API keys that would allow access to third-party services that we use.anywhere.
Nu heb ik geen creditcard gegevens uitstaan bij Patreon (ik betaal via paypal) dus ik heb alleen braaf mijn wachtwoord veranderd. Het zal mij voorlopig nog niet ervan weerhouden door te gaan met het ondersteunen van Youtubers. Ik vind het een mooie service, in plaats van betaling d.m.v advertenties kan ik nu zelf bepalen hoeveel ik betaal aan mijn favoriete kanalen. En je krijgt er nog privileges voor terug ook

[Reactie gewijzigd door anargeek op 2 oktober 2015 10:35]

Dit soort nieuws is gewoon deprimerend. :( Ontwerpfouten of niet, dit is nu net een site die het goed voorheeft met de wereld.
Werkelijk? Crowdfunding websites hebben het alleen goed voor met hun eigen portemonnee. Ze verdienen klauwen met geld aan alle pledges.

Begrijp me niet verkeerd, het is leuk dat ze er zijn en mensen hebben er veel aan. Maar het is geen liefdadigheid.

[Reactie gewijzigd door sanderev66 op 2 oktober 2015 09:04]

Zoek Jack Conte op op YouTube. Hij is de, onbetaalde, CEO van Petreon. Hij ontvangt zelfs geen dividend, dat investeren ze terug. Hij verdient geld met het maken van content.
Er zijn veel CEO's dat geen cent verdienen op papier. Of zichzelf 1$/¤ betalen als loon. Maar het echte geld zit hem ergens anders.

Men heeft vaak: Heel wat kosten dat jij en ik betalen van ons loontje, dat zij vergoed verkrijgen via hun firma. Namelijk bedrijfswagen, tankkaart van de firma, huis als tak van de firma ( vaak een dochter immo firma ) enz...

Dan is het andere aspect daar... Men is vaak in die gevallen eigenaar van de firma of deel eigenaar. M.a.w, zelf als men geen loon trekt, dan heeft men vaak een opbouwende waarde via de firma zelf.

Ik heb bazen gehad dat klaagde over hoeveel hun personeel verdiende en zichzelf in de bloemen zetten omdat ze maar 1$/1¤ verdiende. Maar ze vergaten wel te vertellen dat ze bijna geen levenskosten meer hadden omdat alles rechtstreeks of onrechtstreeks betaald werd door de firma. Dat hun woning in een dochter immo firma veiliggesteld was. Dat als ze loon zouden trekken, dat ze ook volop de taksen enz moeten betalen maar door deze omweg, omzeilde men dit "probleem".

Er zullen mensen zijn dat een goed hart hebben maar kan je verzekeren dat de meeste CEO's dat zogezegd geen geld verdienen, dat ze onrechtstreeks hun zakken vullen. Iedere half deftige boekhouder zou zo een constructie onmiddellijk aanraden aan zijn klanten als ze beetje deftig durven verdienen.

M.a.w, gans de "onbetaalde" toestand is vaak een rookscherm. Klinkt mooi op een PR of als je tegen je personeel praat. Maar men zal geen boterham missen hoor.
Er zijn veel CEO's dat geen cent verdienen op papier. Of zichzelf 1$/¤ betalen als loon. Maar het echte geld zit hem ergens anders.
Jack Conte is de founder van Patreon vannuit idealistisch oogpunt. Hetgeen jij beschrijft herken ik Jack conte absoluut niet in. Zoek hem maar eens op. Ik volg Jack Conte al jaren (ver voor zijn Patreon-tijd) en heb niets minder dan enorm veel respect voor hem.
(..) veel CEO's (..) vaak (..) vaak (..) vaak (..) ik heb bazen gehad (..) de meeste CEO's
Allemaal leuk en aardig, maar als je reageert op die post van mOrPhie is het volkomen irrelevant of veel CEOs de boel belazeren. Als je kunt onderbouwen dat deze CEO (Jack Conte) van zulk soort constructies gebruik maakt, prima, da's relevant en interessant, maar een rant over hoe andere CEOs zich misdragen is volkomen offtopic.
Zijn punt enigszins omfloerst/onhandig verwoord is dat op internet alles om imago en PR draait. Niemand kan overleven zonder inkomsten (of je moet een rijkeluiszoontje zijn - in dat geval is het mi een pak minder indrukwekkend om geen inkomsten te hebben). Dat de man goed investeert in z'n blijkbaar kerngezonde bedrijf is lovenswaardig (alvast als economisch principe). Maar niemand is heiliger dan de paus. En blijkbaar is het bedrijf 17M$ waard, niet slecht als pensioenbonus.
Ja nou en? Ze leveren een service en daar mag best aan verdiend worden.
Niemand houd je tegen zelf een donatie pagina op te zetten.
Ik had het over het "goed voorhebben met de wereld". Alsof andere bedrijven het dat niet hebben?
Volkswagen heeft het op papier ook goed voor met de wereld, alleen besodemieteren ze de boel in het echt.
Patreon is geloof ik opgezet door Youtube artiesten die een platform wilden bieden voor film/youtube/muziek/etc makers. Sommige makers zetten hun reclame uit(zoals Jim Sterling) waardoor iedereen reclamevrij kan kijken.

Andere gebruiken het platform om te kunnen creëen zonder compleet afhankelijk te zijn van reclame.

Het idee is een stuk nobelere dan een bedrijf met aandeelhouders waar het hoogste doel meer winst te halen dan het vorige jaar is.
Maar sinds we in een wereld leven waar we geld nodig hebben om te overleven is het niet zo gek dat de makers van Patreon ook wat geld willen verdienen.

Men denkt altijd maar dat dingen die nobel zijn ook gratis moeten zijn, maar er is tegenwoordig al zoveel gratis en hoe dankbaar is iedereen daarvoor?

Pas als alles wat gratis is, weg is, dan pas merk je hoe veel je gebruik maak van dingen die mensen in hun vrije tijd maken voor anderen.

[Reactie gewijzigd door REDSD op 3 oktober 2015 08:01]

Sommige makers zetten hun reclame uit(zoals Jim Sterling) waardoor iedereen reclame vrij kan kijken.
Reclame is toch altijd al vrij te kijken? of bedoel je reclamevrij?
Kickstarter heeft z'n bedrijfs vorm een week of twee geleden omgezet naar een Public Benefit Corporation. Sommige crowdfunding bedrijven streven dus echt naar een doel die verder gaat dan de bottomline.

Dit schrijft Kickstarter in zijn mission statement:
Benefit Corporations are for-profit companies that are obligated to consider the impact of their decisions on society, not only shareholders. Radically, positive impact on society becomes part of a Benefit Corporation’s legally defined goals. When a company becomes a Benefit Corporation, it can choose to make further commitments. In our new charter (shown below) we spell out our mission, our values, and the commitments we have made to pursue them.
https://www.kickstarter.com/charter
Alle grote beursgenoteerde corporations hebben CSR afdelingen met goed klinkende missionstatements... Dit soort publicaties doet me met enig hartzeer denken aan de do-not-evil-slogan van Google van een decennium geleden.
Alsof al die artiesten en tekenaars oliedom zijn of beslist zichzelf willen benadelen door Patreon te gebruiken.
Dat weet ik nog zo net niet eigenlijk. Het is vrij voor iedereen om geld binnen te harken, ook figuren met dubieuze politieke agenda's. *kuch* Zoe Quinn Vooral veel artiesten en andere makers van audiovisueel materiaal die geld kunnen verdienen middels verkoop lijken gebruik te maken van deze site, ik kan dan niet met een strak gezicht zeggen dat ze het goed voor hebben met de wereld.

@Armada651: voor off-topic materiaal krijg je gewoon een 0 of -1 (waarvan akte ;)), dus neem het mij niet kwalijk als ik niet van mijn originele punt afhaak om een betoog te houden over iets semi gerelateerds.

[Reactie gewijzigd door nst6ldr op 2 oktober 2015 10:02]

Ik ken het ook vooral van de Tumblr mensen die maar vooral zeggen "kijk hoe zielig ik ben, geef mij alsjeblieft geld".

Al in al slechte zaak, ik vraag mij af wat het doel was van de hack. Als ze de database online zetten neem ik aan dat ze een of ander doel in ogen hebben en het ze niet gaat om het vergaren van persoonlijke informatie, want waarom zou je dat delen met de wereld.
ook figuren met dubieuze politieke agenda's. *kuch* Zoe Quinn
Naar mijn inzien hebben degene die verwijten naar haar hoofd gooien zonder enkele onderbouwing pas echt een dubieuze agenda.
Het is vooral een site waar artiesten hun moois -dat vroeger gratis te benaderen was op bijv. DeviantArt- achter een paywall te zetten. Althans daarvoor wordt het grotendeels voor gebruikt.
Wat ik vreemd vind is dat er wordt gezegd dat criminelen dit hebben gedaan maar ik vraag me af wat voor criminelen daarna die informatie openbaar wegzetten. Echte criminelen zouden die informatie toch juist achterhouden om er hun voordeel mee te doen?
Natuurlijk is het een illegale actie en kan je daarom zeggen dat het criminelen zijn maar ik denk dat dit eerder weer een gevalletje: "eens kijken hoe goed dit beveiligd is" is en dat het online zetten gebeurd is nadat er misschien zelfs wel onderling contact tussen de hackers en de site is geweest.
Of het online zetten is een reactie op het feit dat ze publiekelijk voor criminelen zijn uitgemaakt...
Er kunnen meerdere redenen achter zitten. Wellicht waren het concurrenten van Patreon bijvoorbeeld.
Verder zie je tegenwoordig wel vaker databasedumps. Criminelen voeren deze dan door, dumpen deze (soms als er niet aan bepaalde eisen is voldaan) en later wordt deze dan opgepikt door geheime diensten die de geven crosslinken met andere data die zij hebben van mensen op zoek naar nieuwe zwakke punten bij mensen. Net zoals China en Rusland de gelekte database van Ashley madison gebruikt hebben om zwakke punten te vinden in de Amerikaanse overheid (veel leden van Ashley Madison hadden .gov of .mil e-mail adressen).

Je kunt er vanuit gaan dat ook deze database van Patreon gebruikt wordt voor dergelijke doeleindes en sommige criminelen worden wellicht betaald voor dergelijke dumps te maken. Denk bijvoorbeeld aan de Dukes die hacken via malware en (waarschijnlijk) door Rusland worden beschermt.

Het is niet meer de jaren 80 dat hacken voor nog hoofdzakelijk voor de lol of repetatie wordt gedaan. :P
Net zoals China en Rusland de gelekte database van Ashley madison gebruikt hebben om zwakke punten te vinden in de Amerikaanse overheid (veel leden van Ashley Madison hadden .gov of .mil e-mail adressen).
En dat weet je door je eigen contacten met die geheime diensten? Of omdat die daarover een persbericht hebben uitgegeven?
Wellicht hebben ze eerst geprobeerd om Patreon te chanteren: "Geef ons $ .. anders zetten we de boel online". Niet op ingegaan, en nu staat de boel online, zodat ze bij hun volgende roofactie aan het slachtoffer kunnen melden: "Je wilt toch niet zo eindeigen als Patreon? Geef ons $ ...".
In dat geval zet je dergelijke gegevens niet openbaar online. Inbreken bij een bedrijf om naderhand het archief op straat te zetten in het centrum van de stad is nog steeds een criminele daad, al mocht je daar geen voordeel mee behalen.
Je breekt ergens in en zet vervolgens alle spullen op straat? Dat vind ik toch een criminele actie, ook al heb je geen financieel gewin.

Dit is geen gevalletje beveiliging testen, maar dit is gewoon pure diefstal.

En als je niet voor crimineel uitgemaakt wilt worden, dan moet je niet inbreken. En als je als reactie de gegevens van duizenden mensen op straat gooit om dat je het er niet mee eens bent, dan ben je ook een crimineel.
Er is een strafbaar feit gepleegd; de aanduiding criminelen is dus inderdaad feitelijk correct. Dit staat volledig los van de bedoeling.

Een aangifte en/of vervolging is in veel gevallen te voorkomen door het pad van 'responsible disclosure' te volgen, maar dat is in deze overduidelijk niet gedaan. Zodoende lijkt mij de aanduiding crimineel geheel terecht.
Of er nou een goede bedoeling of een egocentrische bedoeling achter zat is irrelevant voor het feit dat ze een strafbare handeling hebben uitgevoerd.
Onderschat ook de waarde van imagoschade niet. Je kunt een bedrijf redelijk ten gronde richten met dit soort acties, dat is voor een concurrent soms ook heel veel waard. Er zijn meerdere redenen te bedenken om informatie te openbaren. Crimineel is het overigens al wanneer er ingebroken is. De titel dekt de lading.
Afpersing en chantage zijn ook gangbare activiteiten van "echte" criminelen hoor.

In dat kader hebben ze wellicht geprobeerd Patreon te chanteren, of willen ze de meest verdieiende accounts afpersen doordat er nu gegevens op straat liggen.

Tevens is het natuurlijk zo dat het "stelen" van de gegevens an sich al gewoon een criminele daad is, wat de intentie er van ook moge zijn, in opdracht van een derde partij of niet.
Laten we niet opnieuw vervallen in het woordspel-discussie "crimineel" of niet. Woordtechnisch is het gebruik van crimineel correct, gevoelsmatig is het voor velen onder ons een te zware bewoording.
Waarom bevat een debug site de hele database? Is het dan niet handiger als je dan den test database hebt?
Een grote hoeveelheid testdata is vrij kostbaar (langdurig) om te maken. Dus vinden bedrijven het "makkelijker" om als test echte data te gebruiken.

Het is fout, maar zeker niet ondenkbaar en komt heel vaak voor.

[Reactie gewijzigd door sanderev66 op 2 oktober 2015 09:06]

Je moest eens weten wat je als ontwikkelaar allemaal tegen komt aan data...

"Hier, neem maar een kopie van de productiedatabase voor ontwikkelwerk. We hadden geen zin/tijd om de boel te anonimiseren; krabbel deze NDA maar en moel houwe!"
Zelfs zonder NDA heb ik dat wel eens gezien, recent nog, en ook niet bij een bepaald klein merk. (Zelfs de product DB passwords en configuraties stonden nog in de code, maar ik denk wel dat dat IP restricted is)
Dat hoop je :) Je zou je verbazen over het aantal veiligheidslekken bij grote bedrijven.
Moah, gezien hoe strict ze bij andere dingen zijn zou mij dat verbazen. Maar ik ga het niet eens proberen dus ik zal het nooit weten :)
Ik zet zelf altijd mijn zwarte hoed op en doe het juist wel.
Mocht je ontdekken dat het lek is dan score je met een melding daarvan zeker punten.
Gister nog precies zo een casus gehad bij een klant, unencrypted kookies. Als ze een worst aan tekens zien en niet weten dat het slechts met base64 is verpakt, tja...
Ik ben ontwikkelaar, en je hebt geheel gelijk ;)
Ik ben ook ontwikkelaar en het klopt dat de productie database gebruikt wordt voor ontwikkeldoeleinden. Dit is vaak niet zozeer luiheid maar meer om te werken met productie data zodat de kans op fouten tijdens een deploy verlaagt wordt. Gelukkig bevat onze productie data alleen maar CMS meuk voor de websites ;)
Wat ik ooit eens tegenkwam:

Them: "Testen jullie maar op deze geanonimiseerde versie van de productiedatabase. Je kunt inloggen als eender welke gebruiker zonder wachtwoord en je moet geen NDA tekenen want alle gegevens zijn fake."

Me (al snel): "Hey, wist je al dat als je inlogt als een gebruiker op de test environment en je vervolgens de URL aanpast, je ingelogd bent als dezelfde gebruiker op productie?"

Them: "Oeps... *krik krak* Fixed, thanks!"

Me (enkele dagen later): "Waarom krijg ik uit productie een mail dat mijn woonwerktraject gewijzigd is nadat ik in de test environment mijn adres verander?"
Daar moet iemand een flinke schop onder zijn aars krijgen, dat is duidelijk...
Een debug versie van de website kan toch even goed dezelfde database gebruiken als de gewone website.
Je geeft aan (iets) toegang tot de database. Waar zie jij het probleem niet? Als (iets) staat voor íeder ander ding dan het eigenlijke programma.
Het zou een 1-op-1 kopie kunnen zijn zodat de debugsite echte data bevat om mee te testen en er niet continue testdata gevuld hoeft te worden. Dan kunnen ze niet per ongeluk de echte data overschrijven maar is het bij een lek nog wel onveilig.
Dat is dus precies het probleem ja.
Om dat soort shit te voorkomen moet je de data in de testdatabase dus anonymiseren.
Wat zijn nu de gevolgen voor de gebruikers dan? Hun email adres ligt op straat dus kan je je spamfilter eens goed testeb. Maar verder?
Niet zoveel volgens mij, niet voor niets dat de hackers het allemaal voor niks op internet hebben gekieperd. Creditcard loopt bijvoorbeeld niet via hun maar via Amazon (of vast ook wel Paypal inmiddels).
Maar verder?
Jantje Doedels is patreon van Nieuw Fascistisch Verbond, Heil Hoppaaa en jewdiepie.

Vast geen sympathiek persoon, die Doedels, maar dat soort informatie ligt nu dus ook op straat.

Maria Geldopzak, woonachtig te Kommaarhalen 10, 1337QQ te Rustigdorpje is patreon van KunstMetEenK voor $500/maand.
Moet ze zelf weten, natuurlijk, maar toch wel interessant voor het dievengilde dat iemand $500 per maand te besteden heeft aan wat filmpjes.

Zo zal er nog wel meer interessante data in zitten voor mensen die niet veel goeds in de zin hebben. Ook zit er, zoals bij elk lek, interessante data in voor marketingbureau's (zie ook weer bovenstaande), analytics groepjes, onderzoekers (vingers er niet aan branden? hebben ze nog vingers over dan?) etc.
Patreon is een hele grote als hack.
Leuk is het voor veel mensen niet. Maar het wordt al helemaal erg als je iemand doet funden waarvan je het liever niet aan de grote klok hangt. Controversiele personen of groepen mensen die zich in het red-light district bevinden van de internetwereld. :P

Wat ik echter erger vind is dat ook heel veel goede initiatieven afhankelijk zijn van Patreon om uberhaupt hun content te kunnen maken en publiceren. Die kunnen nu potentieel patreons verliezen puur door deze hack.

Was de debug database in behandeling bij Patreon zelf of bij een externe firma voor redenen? Wat ook de oorzaak is; het is natuurlijk erg slecht en ik vermoed dat Patreon alleen al zal worden gestraft door de afname van gebruikers van het platform.
Zullen vast wel gebruikes zijn die de moed hebben op gegeven, maar zijn er andere alternatieven van Patreon?

En in dat opzicht zullen de gebruikers niet veel keus hebben, of zelfs niet. En veel die subs doen via Patreon zullen mogelijk ook niet weer graag een 2de account elders willen hebben e.d.
Dubbel gegevens verspreid e.d.
Onbegrijpelijk dat er de dag van vandaag nog altijd bedrijfsgegevens niet achter een firewall staan. Je zou toch denken dat netwerk en systeembeheerders toch op de hoogte zijn van potentiele gevaren en daar rekening mee houden bij het ontwerpen van hun structuur.
Wat probeert men hiermee te bereiken\bewijzen. Dat de security slecht is? Dit kan ook op een ander nette manier lijkt mij.
Of iemand is door de betreffende instantie op zin teentjes getrapt ,maar daar hoeft niet iedereen dupe van te zijn.
Ik vind het maar een sneue actie. Een beetje profijt proberen te hebben van iemand anders werk. Kijk hack je nou en raporteer je meteen een lek aan zo'n bedrijf, is het prima. Maar dit is gewoon sneu.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True