I onsdags gick den hajpade crowdfundingsajten Patreon ut med nyheten att de haft inbrott. Någon har hackat sig in, kopierat sajtens databas och spridit den vind för våg på nätet.
Filerna har laddats upp på många ställen, och en av de som gått igenom dem är säkerhetsanalytikern Troy Hunt som driver Have I been pwned?.
Found 2.3M unqiue emails in the Patreon dump... including mine.
— Troy Hunt (@troyhunt) 2 oktober 2015Han skriver på Twitter att läckan bland annat innehåller 2,3 miljoner unika e-postadresser, fullständiga listor över vem som stöttat vilka projekt och alla meddelanden mellan användare.
The dollar figure for the Patreon campaigns isn't the issue, it's supporters identities, messages, etc. Everything private now public.
— Troy Hunt (@troyhunt) 2 oktober 2015Lyckligtvis sparar Patreon ingen kreditkortsinformation, och lösenordet, personnummer och skatteuppgifter är krypterade med en 2048-bitars RSA-nyckel.
Läs mer: Tio sårbarheter orsakar nästan alla intrång
I ett blogginlägg skriver Patreons vd Jack Conte att intrånget skett ”via en debuggversion av vår hemsida som vad synlig för allmänheten”.
De är långt ifrån ensamma om att ha en sådan säkerhetsbrist, menar Frans Rosén som är knowledge advisor på säkerhetsföretaget Detectify. Bakom intrånget ligger med all sannolikhet ett handhavandefel med debuggverktyget Werkzeug.
– Jag är 99,99 procent säker på att är det här, vi har tidigare uppmärksammat Patreon på att de var sårbara för detta, säger han till Computer Sweden.
Werkzeug Debugger är ett verktyg för webbutvecklare som är tänkt att användas lokalt – i sitt eget nätverk eller på sin egen dator. Men trots att Werkzeug tydligt varnar för det verkar många sajter världen över ha laddat upp debuggen och gjort den tillgänglig online.
Läs mer: Så ska nätets skuggsida ta ett steg mot ljuset - viktigt beslut ger Tor ny legitimitet
– I den här debuggkonsolen går det att skicka in kommandon direkt. Du kan skriva in ett kommando som säger ”öppna en anslutning till min dator” så att du kan styra servern som om den var din egen dator. Man får absolut inte ha det här publikt, då är det game over, säger Frans Rosén.
Han säger att han hittat tusentals sajter som laddat upp debuggern – däribland stora internationella banker, universitet och myndigheter. Det betyder inte per automatik att de går att göra intrång i, men sannolikheten är mycket hög.
Och har han hittat den här bristen, betyder det förmodligen att fler vet om bristen.
– De som har det här online är sannolikt redan utnyttjade utan att de vet om det. De som hittat det här söker säkert vidare för att hitta fler som är sårbara så om de ligger öppet med det här har de troligtvis redan blivit attackerade, säger Frans Rosén.
Läs mer: Säkerhetsföretagen måste samarbeta för att kunna erbjuda riktigt säkra lösningar
Felet ligger i slutänden hos användare som laddat upp debuggen, menar Frans Rosén. Lösningen måste därför också komma av egen maskin.
– Det är inte ramverket som har gjort fel. Werkzeug har redan sagt ”snälla, lägg inte det här online” och gjort det de kan för att försvåra det. Folk måste lösa det här själva.
