Patreon es una plataforma de micromecenazgo que está consiguiendo bastante repercusión, aunque no tanto por las cifras que mueve sino más bien por su concepto. Como alguno de vosotros sabréis, esta plataforma intenta acercar a los fans a sus artistas, permitiéndoles interactuar con ellos y ayudarles a seguir adelante con el apoyo de micropagos.
Pero ni siquiera esta plataforma se libra de los ataques, y como tal y como podemos leer en Ars Technica, Patreon ha sido hackeado por unos ciberdelincuentes que, tras entrar en su base de datos, han publicado después cerca de 15 gigabytes de contraseñas, registros de donaciones e incluso el código fuente de la web.
En un principio se pensó que no había sido grave
Pantreon avisó el pasado miércoles de que había sufrido un fallo de seguridad y que habían conseguido acceder a sus servidores a través de la versión de depuración de su web. Y aunque aseguraron que la información confidencial de sus usuarios no había sido sustraída, parece que finalmente el ataque no ha sido tan leve como en un principio se creía.
Los datos han estado circulando circulando por la red, pero no ha sido hasta que el investigador de seguridad Troy Hunt de have I been pwned? los ha analizado que no se ha confirmado que eran reales y que efectivamente desvelaban varios datos sensibles como contraseñas, mensajes privados y registros de donaciones.
Según cuentan en Ars Technica, aunque Patreon utiliza un algoritmo llamado "bcrypt" bastante difícil de crackear, los atacantes podrían haber utilizado vulnerabilidades en el código fuente para conseguir decodificar las contraseñas de los usuarios, prácticamente lo mismo que hicieron hace unos meses otros atacantes en Ashley Madison.
Por lo tanto, si sois usuarios de esta página lo más recomendable es que cambiéis cuanto antes vuestras contraseñas, puesto que estas están circulando por la web y cualquiera podría acceder a ellas. Habrá que ver cómo soluciona Patreon este entuerto.
Vía | Ars Technica
Imagen | mikael altemark
En Genbeta | Sigue el drama de Ashley Madison: un error de código permite descifrar 11 millones de contraseñas
Ver 8 comentarios
8 comentarios
nekmo
Según entiendo lo que han conseguido son los hashes de las contraseñas a los que le han pasado bcrypt, que aumenta el cifrado añadiendo sal (un sistema muy rudimentario).
Pueden haber descifrado algunas contraseñas, las más comunes, con diccionarios mediante fuerza bruta, pero no por ello significa que hayan conseguido descifrarlas todas.
Al menos no se encontraban en texto plano, lo cual sí es algo grave y reprochable.
Pompiro
15 gygabites de contraseñas? No serán archivos.
bountyhunter1
El otro día me llego un mail de Patreon explicandolo y han conseguido todos los datos pero encriptados, ergo, no las contraseñas en sí.... Es recomendable cambiarlo por el hecho de la seguridad pero no es tan extremista como lo pone en el artículo....lo que no quita que es un fallo de seguridad grave.
260397
O.O justo ayer estaba pensando en crearme una cuenta...
me gustaría saber más detalles de la vulnerabilidad de las contraseñas y bcrypt... por otra parte... tener una versión de tu web en desarrollo con acceso al público, que seguramente tiene peores contraseñas de administración por comodidad etc... es lamentable decisión.
Jose Luis R
Esto es maldad pura :/.... hackear una página que ayuda a artistas con donaciones... lamentable.