La página web de 'Crowdfunding' Patreon ha sido hackeada y 15 gigabytes de datos, incluyendo nombres, direcciones y donaciones se han publicado en línea.
Los datos han estado disponibles en servidores en diferentes localizaciones en línea, incluyendo esta fuente.
La página web Patreon recoge las donaciones a los artistas para los proyectos, de acuerdo con la información proporcionada por el jefe ejecutivo Jack Conte, la información de tarjetas de crédito no fue robada. Según las estadísticas oficiales publicadas por Patreon la web de la empresa llegó a casi 16 millones de vistas al mes en junio de 2015.
"No guardamos los números de tarjeta de crédito completo en nuestros servidores y ninguna tarjeta de crédito se vio comprometida. Aunque fueron accesadas, todas las contraseñas, números de seguro social e información de impuestos estas permanecen codificadas de manera segura con una clave RSA de 2048 bits. No se requiere ninguna acción específica de nuestros usuarios, pero por precaución recomiendo que todos los usuarios actualicen sus contraseñas en Patreon.", Escribió en el blog Patreon.
Conte confirmó que las contraseñas se cifran, pero de todos modos se insta a los usuarios Patreon cambiar sus credenciales de inicio de sesión.
Según ha informado ArsTechnica, cinco días antes de que el personal Patreon reveló la violación de los datos, los investigadores de la empresa de seguridad sueca Detectify informaron a la compañía una falla seria de programación. Los investigadores especulan que la explotación de ese defecto permitió que los hackers robaran los datos.
Los desarrolladores de Patreon permitían a una herramienta de aplicación Web conocida como la biblioteca de utilidad Werkzeug funcionar en su entorno de producción, esta misma aplicación también podían utilizarla los usuarios reales de la página web.
Según los expertos los hackers explotaron el depurador Werkzeug para ejecutar código arbitrario desde el navegador, la falla era bien conocido desde el pasado mes de diciembre, cuando fue descubierta por un investigador.
"Se trata básicamente de ejecución remota de código por diseño," el investigador de Detectify Frans Rosén escribió en un articulo publicado el viernes por la mañana. "Un RCE (remote code execution) es básicamente el fin. Puedes inyectar código directamente a la aplicación, exponiendo todos los datos en el servidor al que la aplicación tiene acceso."
La página web Patreon recoge las donaciones a los artistas para los proyectos, de acuerdo con la información proporcionada por el jefe ejecutivo Jack Conte, la información de tarjetas de crédito no fue robada. Según las estadísticas oficiales publicadas por Patreon la web de la empresa llegó a casi 16 millones de vistas al mes en junio de 2015.
"No guardamos los números de tarjeta de crédito completo en nuestros servidores y ninguna tarjeta de crédito se vio comprometida. Aunque fueron accesadas, todas las contraseñas, números de seguro social e información de impuestos estas permanecen codificadas de manera segura con una clave RSA de 2048 bits. No se requiere ninguna acción específica de nuestros usuarios, pero por precaución recomiendo que todos los usuarios actualicen sus contraseñas en Patreon.", Escribió en el blog Patreon.
 |
| Mensaje dejado por los hackers |
Según ha informado ArsTechnica, cinco días antes de que el personal Patreon reveló la violación de los datos, los investigadores de la empresa de seguridad sueca Detectify informaron a la compañía una falla seria de programación. Los investigadores especulan que la explotación de ese defecto permitió que los hackers robaran los datos.
Los desarrolladores de Patreon permitían a una herramienta de aplicación Web conocida como la biblioteca de utilidad Werkzeug funcionar en su entorno de producción, esta misma aplicación también podían utilizarla los usuarios reales de la página web.
 |
| Muestra de los datos expuestos en linea |
Según los expertos los hackers explotaron el depurador Werkzeug para ejecutar código arbitrario desde el navegador, la falla era bien conocido desde el pasado mes de diciembre, cuando fue descubierta por un investigador.
"Se trata básicamente de ejecución remota de código por diseño," el investigador de Detectify Frans Rosén escribió en un articulo publicado el viernes por la mañana. "Un RCE (remote code execution) es básicamente el fin. Puedes inyectar código directamente a la aplicación, exponiendo todos los datos en el servidor al que la aplicación tiene acceso."
