Populárna webová stránka crowdfunding Kickstarter upozornil zákazníkov v sobotu na narušenie bezpečnosti serverov týchto stránok. Aj keď nič nenasvedčuje tomu, že hackeri získali informácie o kreditnej karte, stránka odhalila, že niektoré údaje o používateľoch boli skutočne ukradnuté, vrátane používateľských mien, e-mailových adries, fyzických poštových adries, telefónnych čísel a šifrovaných hesiel.
V stredu v noci úradníci činní v trestnom konaní kontaktovali spoločnosť Kickstarter a upozornili nás, že hackeri vyhľadali a získali neoprávnený prístup k niektorým údajom našich zákazníkov. Po tom, čo sme sa o tom dozvedeli, sme okamžite uzavreli narušenie bezpečnosti a začali sme posilňovať bezpečnostné opatrenia v celom systéme Kickstarter.
Aj keď heslá získané hackermi boli šifrované, je stále možné, že hackeri môžu zoznam dešifrovať a získať k nemu dostatok času a výpočtovej sily. Krátke a jednoduché heslá sú obzvlášť citlivé na tieto takzvané útoky „hrubou silou“. Spoločnosť Kickstarter preto odporúča, aby používatelia okamžite zmenili svoje heslá na stránke, ako aj na akejkoľvek inej webovej stránke, na ktorej sa používa rovnaké heslo.
Kickstarter okrem svojho e-mailu pre zákazníkov uverejnil aj blogový príspevok, ktorý podrobne popisoval porušenie, a poskytuje stručné FAQ, ktoré sú uvedené nižšie:
Ako boli heslá šifrované?
Staršie heslá boli jedinečne solené a štiepené pomocou SHA-1 viackrát. Najnovšie heslá sú hashované pomocou bcrypt.
Ukladá Kickstarter údaje o kreditných kartách?
Kickstarter neuchováva celé čísla kreditných kariet. Pre prísľuby voči projektom mimo USA ukladáme posledné štyri číslice a dátumy vypršania platnosti kreditných kariet. Žiadne z týchto údajov neboli nijako prístupné.
Ak bol Kickstarter informovaný v stredu v noci, prečo boli ľudia informovaní v sobotu?
Okamžité prerušenie sme porušili a všetci sme upovedomili hneď, ako sme situáciu dôkladne vyšetrili.
Bude Kickstarter spolupracovať s dvoma ľuďmi, ktorých účty boli ohrozené?
Áno. Oslovili sme ich a zabezpečili sme ich účty.
Používam Facebook na prihlásenie do Kickstarter. Je moje prihlásenie kompromitované?
Ako preventívne opatrenie resetujeme všetky prihlasovacie údaje na Facebooku. Používatelia Facebooku sa môžu jednoducho znovu pripojiť, keď prídu na Kickstarter.
Zákazníci, ktorí sa nebudú zaoberať blogovým príspevkom, môžu kontaktovať spoločnosť Kickstarter na adrese.
