A népszerű közösségi finanszírozású weboldal, a Kickstarter szombaton figyelmeztette az ügyfeleket a webhely szervereinek biztonsági megsértésére. Noha nincs arra utaló jel, hogy a hackerek hitelkártya-információkat szereztek volna meg, a webhely feltárta, hogy bizonyos felhasználói adatokat valóban ellopták, ideértve a felhasználóneveket, az e-mail címeket, a fizikai levelezési címeket, a telefonszámokat és a titkosított jelszavakat.
Szerda este a rendészeti tisztviselők kapcsolatba léptek a Kickstarterrel, és figyelmeztettek minket, hogy a hackerek ügyfeleink egyes adataihoz jogosulatlan hozzáférést kerestek és szereztek be. Miután ezt megtanultuk, azonnal bezártuk a biztonsági szabálysértést és megkezdtük a biztonsági intézkedések megerősítését az egész Kickstarter rendszerben.
Noha a hackerek által megszerzett jelszavak titkosítva voltak, továbbra is lehetséges, hogy a hackerek elegendő idővel és számítástechnikai haszonnal dekódolhatják a listát, és hozzáférhessenek hozzá. A rövid, egyszerű jelszavak különösen érzékenyek az úgynevezett „brute force” támadásokra. A Kickstarter ezért azt ajánlja, hogy a felhasználók azonnal változtassák meg jelszavaikat a webhelyen, valamint bármely más olyan webhelyen, ahol ugyanazt a jelszót használják.
Az ügyfeleknek küldött e-mail mellett a Kickstarter egy blogbejegyzést tett közzé, amely részletezi a jogsértést, és rövid alább felsorolt GYIK-ot is tartalmaz:
Hogyan titkosították a jelszavakat?
A régebbi jelszavakat egyedileg sóztuk és emésztjük SHA-1-vel többször. A legújabb jelszavak a bcrypt-rel vannak feltöltve.
Tárolja a Kickstarter hitelkártya-adatokat?
A Kickstarter nem tárolja a teljes hitelkártya számot. Az Egyesült Államokon kívüli projektekre tett ígéretek esetén a hitelkártyák utolsó négy számjegyét és lejárati idejét tároljuk. Ezen adatokhoz semmilyen módon nem férhetett hozzá.
Ha a Kickstarter szerda este értesítést kapott, miért értesítették az embereket szombaton?
Azonnal bezártuk a jogsértést és értesítettünk mindenkit, mihelyt alaposan megvizsgáltuk a helyzetet.
Működni fog a Kickstarter azon két emberrel, akinek a számláit veszélyeztette?
Igen. Megkerestük őket és biztosítottuk számláikat.
A Facebook segítségével jelentkezem be a Kickstarterbe. Sértem a bejelentkezési adataimat?
Nem. Óvintézkedésként visszaállítunk minden Facebook bejelentkezési hitelesítő adatot. A Facebook-felhasználók egyszerűen újracsatlakozhatnak, amikor a Kickstarterhez érkeznek.
Az ügyfelek olyan aggályaival kapcsolatban, amelyekkel a blogbejegyzés nem foglalkozik, kapcsolatba léphetnek a Kickstarterrel a következő címen:.
