Heise berichtet, daß 15 Gigabyte an Nutzerdaten der Crowdfunding-Plattform Patreon veröffentlicht wurden. Dabei soll es sich um eine SQL-Datei mit 2,3 Millionen E-Mail-Adressen, Nutzernamen, Nachrichten aus dem internen Kommunikationssystem, einige Liefer- und einige Abrechnungsadressen handeln. Kennwörter sollen bcrypt-gehasht und Zahlungsdaten verschlüsselt sein.

Ursache für das Datenleck war, daß Patreon eine Debug-Version seiner Website auf einem öffentlich erreichbaren Entwicklungsserver veröffentlich hatte, mit einer Kopie der Produktiv-Datenbank.

Positiv ist zu erwähnen, daß Patreon das Problem sehr schnell erkannt und seine Nutzer informiert hat.

Als Gegenmaßnahmen kommen grundsätzlich in Frage:

  1. Test- und Entwicklungssysteme nicht öffentlich machen. (Wurde von Patreon nach dem Vorfall umgestellt.) Manchmal ist das jedoch notwendig, dann sollten die Systeme aber so gut gesichert werden wie möglich (zum Beispiel durch .htpasswd/.htaccess-Zugriffsschutz vor einer Website).
  2. Keine Daten aus Produktivsystemen auf Test- und Entwicklungssystemen verwenden. Auch wenn es sehr aufwändig sein kann, benötigte Testdaten zu erzeugen.
  3. Daten wenn möglich verschlüsseln, Kennwörter mit starken Verfahren hashen. (Wie von Patreon vorgenommen.)
  4. Aktiv nach Datenlecks und Sicherheitslücken suchen, sie beheben und Nutzer informieren, falls sie betroffen sind. (Wie von Patreon gemacht.)