Популярний веб-сайт краудфандингу Kickstarter попередив клієнтів у суботу про порушення безпеки серверів сайту. Хоча немає жодних ознак того, що хакери отримували інформацію про кредитні картки, на сайті виявлено, що деякі дані користувачів справді були викрадені, включаючи імена користувачів, електронні адреси, фізичні поштові адреси, телефонні номери та зашифровані паролі.
У середу ввечері працівники правоохоронних органів зв’язалися з Kickstarter та попередили нас, що хакери шукали та отримували несанкціонований доступ до деяких даних наших клієнтів. Дізнавшись про це, ми негайно закрили порушення безпеки та почали посилювати заходи безпеки по всій системі Kickstarter.
Хоча паролі, отримані хакерами, були зашифровані, все ж можливо, що список може бути розшифрований і доступ до них хакерам з достатньою кількістю часу та обчислювальної потужності. Короткі, прості паролі особливо вразливі до цих так званих "грубих" атак. Таким чином, Kickstarter рекомендує користувачам негайно змінювати свої паролі на сайті, а також на будь-якому іншому веб-сайті, де використовується той самий пароль.
На додаток до свого електронного листа для клієнтів, Kickstarter опублікував публікацію в блозі, де детально описується порушення та надає короткий FAQ, цитований нижче:
Як паролі були зашифровані?
Старі паролі були унікально засолені та засвоювані за допомогою SHA-1 кілька разів. Більш недавні паролі хешируються за допомогою bcrypt.
Чи зберігає Kickstarter дані кредитної картки?
Kickstarter не зберігає повні номери кредитних карт. Для зобов'язань перед проектами за межами США ми зберігаємо останні чотири цифри та термін придатності для кредитних карток. Ні до яких даних не було доступно жодним чином.
Якщо про Kickstarter було повідомлено в середу ввечері, чому людей повідомили в суботу?
Ми негайно закрили порушення та повідомили всіх, як тільки ми ретельно дослідили ситуацію.
Чи буде Kickstarter працювати з двома людьми, чиї акаунти були порушені?
Так. Ми звернулися до них і забезпечили їхні рахунки.
Я використовую Facebook для входу на Kickstarter. Чи порушено мій логін?
Ні. В якості запобіжних заходів ми скидаємо всі облікові дані Facebook для входу. Користувачі Facebook можуть просто знову підключитися, коли приходять на Kickstarter.
Занепокоєння клієнтів, які не стосуються публікації блогу, можуть зв’язатися з Kickstarter за адресою
