Ο δημοφιλής ιστότοπος Kickstarter προκάλεσε ειδοποίηση πελατών το Σάββατο για παραβίαση ασφαλείας των διακομιστών του ιστότοπου. Παρόλο που δεν υπάρχουν ενδείξεις ότι οι χάκερ έλαβαν πληροφορίες πιστωτικής κάρτας, ο ιστότοπος αποκάλυψε ότι ορισμένα δεδομένα χρηστών κλέφθηκαν πράγματι, συμπεριλαμβανομένων ονομάτων χρηστών, διευθύνσεων ηλεκτρονικού ταχυδρομείου, ταχυδρομικών διευθύνσεων, αριθμών τηλεφώνου και κρυπτογραφημένων κωδικών πρόσβασης.
Την Τετάρτη το βράδυ, οι αξιωματούχοι της επιβολής του νόμου επικοινώνησαν με τον Kickstarter και μας ειδοποίησαν ότι οι χάκερ είχαν επιδιώξει και απέκτησαν μη εξουσιοδοτημένη πρόσβαση σε ορισμένα στοιχεία των πελατών μας. Με τη μάθηση αυτή, έκλεισα αμέσως την παραβίαση της ασφάλειας και ξεκίνησε την ενίσχυση των μέτρων ασφαλείας σε όλο το σύστημα Kickstarter.
Παρόλο που οι κωδικοί πρόσβασης που αποκτήθηκαν από τους hackers ήταν κρυπτογραφημένοι, εξακολουθεί να είναι πιθανό η λίστα να μπορεί να αποκρυπτογραφηθεί και να έχει πρόσβαση από τους χάκερ με αρκετό χρόνο και υπολογιστική ισχύ. Οι σύντομοι, απλοί κωδικοί πρόσβασης είναι ιδιαίτερα ευάλωτοι σε αυτές τις λεγόμενες επιθέσεις "βίαιης δύναμης". Επομένως, το Kickstarter συνιστά στους χρήστες να αλλάζουν αμέσως τους κωδικούς πρόσβασής τους στον ιστότοπο καθώς και σε οποιονδήποτε άλλο ιστότοπο όπου χρησιμοποιείται ο ίδιος κωδικός πρόσβασης.
Εκτός από το ηλεκτρονικό ταχυδρομείο του στους πελάτες, ο Kickstarter δημοσίευσε μια ανάρτηση blog που περιγράφει λεπτομερώς την παραβίαση και παρέχει μια σύντομη Συχνές Ερωτήσεις (FAQ), η οποία αναφέρεται παρακάτω:
Πώς κωδικοποιήθηκαν οι κωδικοί πρόσβασης;
Οι παλαιότεροι κωδικοί πρόσβασης ήταν μοναδικά αλατισμένοι και αφομοιώθηκαν με SHA-1 πολλές φορές. Οι πιο πρόσφατοι κωδικοί πρόσβασης έχουν εξαφανιστεί με bcrypt.
Η Kickstarter αποθηκεύει δεδομένα πιστωτικής κάρτας;
Ο Kickstarter δεν αποθηκεύει πλήρεις αριθμούς πιστωτικών καρτών. Για τις υποσχέσεις για σχέδια εκτός των ΗΠΑ, αποθηκεύουμε τα τελευταία τέσσερα ψηφία και τις ημερομηνίες λήξης για τις πιστωτικές κάρτες. Κανένα από αυτά τα δεδομένα δεν ήταν σε καμία περίπτωση προσβάσιμο.
Αν ο Kickstarter ειδοποιήθηκε το βράδυ της Τετάρτης, γιατί ενημερώθηκαν οι άνθρωποι το Σάββατο;
Κλείσαμε αμέσως την παραβίαση και ενημερώσαμε όλους όσους είχαμε διερευνήσει διεξοδικά την κατάσταση.
Θα συνεργαστεί ο Kickstarter με τα δύο άτομα των οποίων οι λογαριασμοί είχαν παραβιαστεί;
Ναί. Έχουμε φτάσει σε αυτούς και έχουν εξασφαλίσει τους λογαριασμούς τους.
Χρησιμοποιώ το Facebook για να συνδεθώ στο Kickstarter. Η σύνδεση μου είναι συμβιβασμένη;
Όχι. Προληπτικά, επαναφέρουμε όλα τα διαπιστευτήρια σύνδεσης στο Facebook. Οι χρήστες του Facebook μπορούν απλά να επανασυνδεθούν όταν έρθουν στο Kickstarter.
Οι πελάτες θα ανησυχούν που δεν αντιμετωπίζονται από το blog post μπορεί να επικοινωνήσει με Kickstarter στο.
