Det populære crowdfunding-websted Kickstarter advaret kunder lørdag om et sikkerhedsbrud på webstedets servere. Selvom der ikke er noget, der tyder på, at hackerne opnåede kreditkortoplysninger, afslørede webstedet, at nogle brugerdata faktisk blev stjålet, herunder brugernavne, e-mail-adresser, fysiske mailadresser, telefonnumre og krypterede adgangskoder.
Onsdag aften kontaktede de retshåndhævende myndigheder Kickstarter og advarede os om, at hackere havde søgt og fået uautoriseret adgang til nogle af vores kunders data. Da vi lærte dette, lukkede vi straks sikkerhedsovertrædelsen og begyndte at styrke sikkerhedsforanstaltninger i hele Kickstarter-systemet.
Selvom de adgangskoder, der blev fået af hackerne, var krypteret, er det stadig muligt, at listen kunne dekrypteres og få adgang til af hackere med nok tid og computerkraft. Korte, enkle adgangskoder er især sårbare over for disse såkaldte "brute force" -angreb. Kickstarter anbefaler derfor, at brugerne straks ændrer deres adgangskoder på webstedet såvel som på ethvert andet websted, hvor den samme adgangskode bruges.
Ud over sin e-mail til kunder offentliggjorde Kickstarter et blogindlæg, der beskrev bruddet, og indeholder en kort FAQ, citeret nedenfor:
Hvordan blev adgangskoder krypteret?
Ældre adgangskoder blev unikt saltet og fordøjet med SHA-1 flere gange. Nyere adgangskoder hashedes med bcrypt.
Opbevarer Kickstarter kreditkortdata?
Kickstarter gemmer ikke fulde kreditkortnumre. For løfter til projekter uden for USA gemmer vi de sidste fire cifre og udløbsdatoer for kreditkort. Ingen af disse data blev adgang på nogen måde.
Hvis Kickstarter blev underrettet onsdag aften, hvorfor blev folk underrettet om lørdag?
Vi lukkede straks overtrædelsen og underrettede alle, så snart vi havde undersøgt situationen grundigt.
Vil Kickstarter arbejde med de to personer, hvis konti blev kompromitteret?
Ja. Vi har nået dem og har sikret deres konti.
Jeg bruger Facebook til at logge ind på Kickstarter. Er min login kompromitteret?
Nej. Som en forholdsregel nulstiller vi alle Facebook-loginoplysninger. Facebook-brugere kan blot oprette forbindelse igen, når de kommer til Kickstarter.
Kunder vil bekymringer, der ikke er adresseret i blogindlægget, kan kontakte Kickstarter på.
