Популярният уебсайт за краудфандинг Kickstarter алармира клиентите в събота за нарушение на сигурността на сървърите на сайта. Въпреки че няма индикации, че хакерите са получили информация за кредитни карти, сайтът разкрива, че някои потребителски данни наистина са били откраднати, включително потребителски имена, имейл адреси, физически пощенски адреси, телефонни номера и криптирани пароли.
В сряда вечерта служителите на реда се свързаха с Kickstarter и ни предупредиха, че хакери са потърсили и са получили неоторизиран достъп до някои от данните на нашите клиенти. След като научихме за това, незабавно затворихме нарушаването на сигурността и започнахме да засилваме мерките за сигурност в цялата система Kickstarter.
Въпреки че паролите, получени от хакерите, са били шифровани, все още е възможно списъкът да може да бъде декриптиран и достъпен от хакери с достатъчно време и изчислителна мощност. Кратките, прости пароли са особено уязвими при тези така наречени "груби сили" атаки. Ето защо Kickstarter препоръчва на потребителите незабавно да променят паролите си на сайта, както и на всеки друг уебсайт, където се използва същата парола.
Освен имейла си до клиентите, Kickstarter публикува публикация в блога, в която подробно описва нарушението и предоставя кратък FAQ, цитиран по-долу:
Как бяха шифровани паролите?
По-старите пароли бяха уникално осолени и усвоени с SHA-1 многократно. По-новите пароли са хеширани с bcrypt.
Kickstarter съхранява ли данни за кредитни карти?
Kickstarter не съхранява пълни номера на кредитни карти. За обещания към проекти извън САЩ, ние съхраняваме последните четири цифри и дати на валидност на кредитните карти. Никой от тези данни не е имал достъп по никакъв начин.
Ако Kickstarter е бил уведомен в сряда вечер, защо хората са били уведомени в събота?
Веднага затворихме нарушението и уведомихме всички, щом подробно проучихме ситуацията.
Ще работи ли Kickstarter с двамата души, чиито акаунти бяха компрометирани?
Да. Посегнахме към тях и сме им осигурили сметките.
Използвам Facebook за влизане в Kickstarter. Моето вход ли е компрометирано?
Не. Като предпазна мярка нулираме всички идентификационни данни за вход във Facebook. Потребителите на Facebook могат просто да се свържат отново, когато дойдат на Kickstarter.
Потребностите на клиентите, които не са адресирани от публикацията в блога, могат да се свържат с Kickstarter на.
