De gegevens van 2,3 miljoen gebruikers van crowdfundingsite Patreon zijn op straat komen te liggen nadat diens servers zijn gekaapt door aanvallers. Ze konden dit doen omdat een tool te bereiken was om fouten in de site te debuggen, meldt Ars Technica. De makers van WSGI-tool Werkzeug waarschuwen dat hun tool niet in een productie-omgeving mag staan.

Debugger door iedereen aan te spreken

Ontwikkelaars voeren een sleutel in als ze de debugger van Werkzeug aanspreken, maar hij start zonder authenticatie als er een fout wordt gegenereerd in de webapplicatie. De tool spoort zo fouten op voor de site-ontwikkelaars.

Maar via de automatische foutcontrole kunnen aanvallers code uitvoeren. De debugger had daarom gescheiden moeten zijn van het openbare internet, maar was te bereiken via een publiek toegankelijk subdomein.

Zo zijn de hackers binnengekomen bij Patreon, meldt beveiliginsgbedrijf Detectify. Saillant detail is dat Detectify dit aan Patreon doorgegeven had, vijf dagen voordat de hack plaatsvond.