Popularna strona crowdfundingowa Kickstarter powiadomiła w sobotę klientów o naruszeniu bezpieczeństwa serwerów strony. Chociaż nic nie wskazuje na to, że hakerzy uzyskali informacje o karcie kredytowej, witryna ujawniła, że niektóre dane użytkownika zostały rzeczywiście skradzione, w tym nazwy użytkowników, adresy e-mail, fizyczne adresy korespondencyjne, numery telefonów i zaszyfrowane hasła.
W środę wieczorem funkcjonariusze organów ścigania skontaktowali się z Kickstarter i powiadomili nas, że hakerzy szukali i uzyskali nieautoryzowany dostęp do niektórych danych naszych klientów. Dowiedziawszy się o tym, natychmiast usunęliśmy naruszenie bezpieczeństwa i zaczęliśmy wzmacniać środki bezpieczeństwa w całym systemie Kickstarter.
Chociaż hasła uzyskane przez hakerów zostały zaszyfrowane, nadal możliwe jest, że hakerzy mogą odszyfrować listę i uzyskać do niej dostęp z wystarczającą ilością czasu i mocy obliczeniowej. Krótkie, proste hasła są szczególnie podatne na tak zwane ataki „brutalnej siły”. Dlatego Kickstarter zaleca, aby użytkownicy natychmiast zmienili swoje hasła w witrynie, a także w każdej innej witrynie, w której używane jest to samo hasło.
Oprócz wiadomości e-mail do klientów Kickstarter opublikował post na blogu szczegółowo opisujący naruszenie oraz podaje krótkie FAQ, cytowane poniżej:
Jak szyfrowano hasła?
Starsze hasła były wyjątkowo solone i wielokrotnie trawione SHA-1. Nowsze hasła są mieszane za pomocą bcrypt.
Czy Kickstarter przechowuje dane karty kredytowej?
Kickstarter nie przechowuje pełnych numerów kart kredytowych. W przypadku zobowiązań dotyczących projektów poza USA przechowujemy cztery ostatnie cyfry i daty ważności kart kredytowych. Żadne z tych danych nie było w żaden sposób dostępne.
Jeśli powiadomiono Kickstarter w środę wieczorem, dlaczego ludzie zostali powiadomieni w sobotę?
Natychmiast zamknęliśmy naruszenie i powiadomiliśmy wszystkich, gdy tylko dokładnie zbadamy sytuację.
Czy Kickstarter będzie współpracować z dwiema osobami, których konta zostały naruszone?
Tak. Dotarliśmy do nich i zabezpieczyliśmy ich konta.
Korzystam z Facebooka, aby zalogować się do Kickstarter. Czy moje logowanie jest zagrożone?
Nie. Dla bezpieczeństwa resetujemy wszystkie dane logowania do Facebooka. Użytkownicy Facebooka mogą po prostu ponownie połączyć się, gdy wejdą na Kickstarter.
Klienci, którzy będą mieli wątpliwości, których nie dotyczy post na blogu, mogą skontaktować się z Kickstarter pod adresem
