Taiteiden tukisaitti Patreon hakkeroitiin - Tietoturva - Ilta-Sanomat

Jättimurto avustussivustolle - lahjoittajien nimet julki

Lahjoituspalvelu Patreon on hakkeroitu ja sen koko 15 gigatavun sisältö jaeltu verkkoon. Oikeita lahjoituksia eri tarkoituksiin tehneiden ihmisten nimet, osoitteet ja sähköpostiosoitteet vastaavat melkein lottovoittajien nimien ja yhteystietojen julkista levittämistä.

5.10.2015 8:20 | Päivitetty 5.10.2015 8:20

Taiteilijoiden, keksijöiden ja muiden luovien ihmisten hankkeita tukevan lahjoituspalvelu Patreonin tietomurrossa viedyissä tiedoissa on mukana lahjoittajien tietojen lisäksi myös koko palvelun lähdekoodi, kirjoitti Ars Technica.

Tietoturvatutkija Tony Hunt sanoo löytäneensä verkkoon vuodetusta tietomassasta 2,3 miljoonaa sähköpostiosoitetta, myös omansa. Se sisältää myös lahjoittajien sähköpostiviestejä ja tietoja siitä mihin tarkoitukseen he ovat lahjoittaneet ja kuinka paljon.

Hunt pyörittää suosittua  haveibeenpwned-nettisivustoa, joka seuraa hakkeroituja palveluja ja niiden jakeluun laitettuja tietoja. Se tarjoaa muun muassa mahdollisuutta tarkastaa onko oma sähköpostiosoite vuodettujen joukossa.

Kaikkiaan Patreon-palvelussa on 15,25 miljoonaa tiliä, joiden salasanat on suojattu pätevästi ja moninkertaisesti käyttäen muun muassa 2048-bittistä RSA-salausta. Huntin mukaan lähdekoodin vuotaminen voi nopeuttaa salauksen purkamista huomattavasti. Sieltä voi löytyä  jopa suoraan salausavaimia.

Patreon sanoo, että palvelun salasanat oli suojattu bcrypt-menetelmällä, jonka purkaminen on erittäin hidasta ja vaatii paljon tietokoneresursseja.  Bcryptillä suojattujen salasanojen nopeasta purkamisesta on kuitenkin tuore esimerkki. Ohjelmointivirheiden takia pettäjäsivusto Ashley Madisonin bcryptillä suojatut salasanat avautuivat nopeasti.

Lähdekoodin avulla rikolliset voivat pystyä selvittämään myös sosiaaliturva- ja veronumeroita.

Osion tuoreimmat

Luitko jo nämä?