Debugtool live bereikbaar, megahack volgt

Miljoenen gebruikersgegevens op straat na beheerfoutje.

Hackers konden bij 15 GB aan data doordat een debugger van een crowdfundingsite publiekelijk toegankelijk was. De makers van de tool stellen expliciet dat de tool nooit op productiemachines gebruikt mag worden.

De gegevens van 2,3 miljoen gebruikers van crowdfundingsite Patreon zijn op straat komen te liggen nadat diens servers zijn gekaapt door aanvallers. Ze konden dit doen omdat een tool te bereiken was om fouten in de site te debuggen, meldt Ars Technica. De makers van WSGI-tool Werkzeug waarschuwen dat hun tool niet in een productie-omgeving mag staan.




Debugger door iedereen aan te spreken

Ontwikkelaars voeren een sleutel in als ze de debugger van Werkzeug aanspreken, maar hij start zonder authenticatie als er een fout wordt gegenereerd in de webapplicatie. De tool spoort zo fouten op voor de site-ontwikkelaars.

Maar via de automatische foutcontrole kunnen aanvallers code uitvoeren. De debugger had daarom gescheiden moeten zijn van het openbare internet, maar was te bereiken via een publiek toegankelijk subdomein.

Zo zijn de hackers binnengekomen bij Patreon, meldt beveiliginsgbedrijf Detectify. Saillant detail is dat Detectify dit aan Patreon doorgegeven had, vijf dagen voordat de hack plaatsvond.