Populārā kopfinansēšanas vietne Kickstarter sestdien brīdināja klientus par vietnes serveru drošības pārkāpumiem. Kaut arī nekas neliecina, ka hakeri būtu ieguvuši kredītkartes informāciju, vietne atklāja, ka daži lietotāju dati patiešām tika nozagti, tostarp lietotājvārdi, e-pasta adreses, fiziskā pasta adreses, tālruņu numuri un šifrētas paroles.
Trešdienas vakarā tiesībaizsardzības iestāžu darbinieki sazinājās ar uzņēmumu Kickstarter un mūs brīdināja, ka hakeri ir meklējuši un ieguvuši neatļautu piekļuvi dažu mūsu klientu datiem. Uzzinot to, mēs nekavējoties slēdzām drošības pārkāpumu un sākām stiprināt drošības pasākumus visā Kickstarter sistēmā.
Lai arī hakeru iegūtās paroles tika šifrētas, joprojām ir iespējams, ka hakeri var atšifrēt un tam piekļūt, izmantojot pietiekami daudz laika un skaitļošanas jaudas. Īsas, vienkāršas paroles ir īpaši neaizsargātas pret šiem tā sauktajiem “brutālā spēka” uzbrukumiem. Tāpēc Kickstarter lietotājiem iesaka nekavējoties nomainīt savas paroles vietnē, kā arī jebkurā citā vietnē, kur tiek izmantota tā pati parole.
Papildus e-pasta ziņojumiem klientiem Kickstarter publicēja emuāra ziņu, kurā sīki aprakstīts pārkāpums, un sniedz īsus FAQ, kas citēti zemāk:
Kā tika šifrētas paroles?
Vecākas paroles tika unikāli sālītas un vairākas reizes sagremotas ar SHA-1. Jaunākās paroles tiek sajauktas ar bcrypt.
Vai Kickstarter glabā kredītkartes datus?
Kickstarter neuzglabā pilnus kredītkaršu numurus. Par ķīlām projektiem ārpus ASV mēs saglabājam kredītkaršu pēdējos četrus ciparus un derīguma termiņu. Nevienam no šiem datiem nekādā veidā nebija piekļuves.
Ja Kickstarter tika paziņots trešdienas vakarā, kāpēc cilvēki tika paziņoti sestdien?
Mēs nekavējoties slēdzām pārkāpumu un paziņojām visiem, tiklīdz mēs bijām rūpīgi izpētījuši situāciju.
Vai Kickstarter strādās ar diviem cilvēkiem, kuru konti tika apdraudēti?
Jā. Mēs esam sazinājušies ar viņiem un nodrošinājuši viņu kontus.
Es izmantoju Facebook, lai pieteiktos Kickstarter. Vai mana pieteikšanās ir apdraudēta?
Nē. Piesardzības dēļ mēs atiestatām visus Facebook pieteikšanās akreditācijas datus. Facebook lietotāji var vienkārši atjaunot savienojumu, ierodoties vietnē Kickstarter.
Klientiem radušās bažas, uz kurām emuāra ziņojumā nav norādīts, var sazināties ar Kickstarter vietnē.
