Det populære crowdfunding-nettstedet Kickstarter varslet kunder lørdag om et sikkerhetsbrudd på nettstedets servere. Selv om det ikke er noen indikasjon på at hackerne innhentet kredittkortinformasjon, avslørte nettstedet at noen brukerdata faktisk ble stjålet, inkludert brukernavn, e-postadresser, fysiske postadresser, telefonnumre og krypterte passord.
Onsdag kveld tok myndighetene kontakt med Kickstarter og varslet oss om at hackere hadde søkt og fått uautorisert tilgang til noen av våre kunders data. Da vi lærte dette, lukket vi øyeblikkelig sikkerhetsbruddet og begynte å styrke sikkerhetstiltak i hele Kickstarter-systemet.
Selv om passordene som ble innhentet av hackerne, var kryptert, er det fortsatt mulig at listen kan dekrypteres og få tilgang til av hackere med nok tid og datakraft. Korte, enkle passord er spesielt sårbare for disse såkalte "brute force" -angrepene. Kickstarter anbefaler derfor at brukere umiddelbart endrer passord på nettstedet så vel som på andre nettsteder der det samme passordet brukes.
I tillegg til e-posten til kundene, publiserte Kickstarter et blogginnlegg med detaljene om bruddet og gir en kort FAQ, sitert nedenfor:
Hvordan ble passord kryptert?
Eldre passord ble saltet unikt og fordøyd med SHA-1 flere ganger. Nyere passord er hashet med bcrypt.
Lagrer Kickstarter kredittkortdata?
Kickstarter lagrer ikke fulle kredittkortnumre. For pantsettelser til prosjekter utenfor USA lagrer vi de fire siste sifrene og utløpsdatoene for kredittkort. Ingen av disse dataene ble på noen måte tilgang.
Hvis Kickstarter ble varslet onsdag kveld, hvorfor ble folk varslet på lørdag?
Vi lukket umiddelbart bruddet og varslet alle så snart vi hadde undersøkt situasjonen grundig.
Vil Kickstarter samarbeide med de to personene hvis kontoer ble kompromittert?
Ja. Vi har nådd ut til dem og har sikret kontoene deres.
Jeg bruker Facebook for å logge inn på Kickstarter. Blir innloggingen min skadet?
Nei. Som en forholdsregel tilbakestiller vi alle innloggingsinformasjon på Facebook. Facebook-brukere kan ganske enkelt koble til igjen når de kommer til Kickstarter.
Kunder vil bekymringer som ikke blir adressert av blogginnlegget, kan kontakte Kickstarter på.
