Suosittu joukkorahoitussivusto Kickstarter varoitti asiakkaita lauantaina sivuston palvelimien tietoturvaloukkauksista. Vaikka ei ole mitään viitteitä siitä, että hakkerit olisivat saaneet luottokorttitietoja, sivusto paljasti, että jotkut käyttäjätiedot on todella varastettu, mukaan lukien käyttäjänimet, sähköpostiosoitteet, fyysiset postiosoitteet, puhelinnumerot ja salatut salasanat.
Keskiviikkoiltana lainvalvontaviranomaiset ottivat yhteyttä Kickstarteriin ja ilmoittivat meille, että hakkerit olivat etsineet ja saaneet luvattoman pääsyn joidenkin asiakkaidemme tietoihin. Saatuaan tietää tämän, suljimme heti tietoturvaloukkauksen ja aloimme vahvistaa turvatoimenpiteitä koko Kickstarter-järjestelmässä.
Vaikka hakkereiden hankkimat salasanat oli salattu, on kuitenkin mahdollista, että hakkerit salaavat listan salauksen ja pääsevät käyttämään hakkereita sillä riittävästi aikaa ja laskentatehoa. Lyhyet, yksinkertaiset salasanat ovat erityisen alttiita näille ns. "Raa'alle voimalle". Kickstarter suosittelee siksi, että käyttäjät vaihtavat salasanansa heti sivustolla samoin kuin millä tahansa muulla verkkosivustolla, jossa samaa salasanaa käytetään.
Asiakkaille osoittamansa sähköpostiviestien lisäksi Kickstarter julkaisi rikkomusta kuvaavan blogiviestin ja tarjoaa lyhyen UKK: n, joka lainataan alla:
Kuinka salasanat salattiin?
Vanhemmat salasanat suolattiin ainutlaatuisesti ja pilkottiin SHA-1: llä useita kertoja. Viimeisimmät salasanat on hajautettu bcryptillä.
Tallentaako Kickstarter luottokorttitietoja?
Kickstarter ei tallenna luottokorttinumeroita. Yhdysvaltojen ulkopuolella toteutettavia hankkeita varten tallennamme luottokorttien neljä viimeistä numeroa ja viimeistä voimassaolopäivää. Mitään näistä tiedoista ei saatu millään tavalla käyttöön.
Jos Kickstarterille ilmoitettiin keskiviikkoiltana, miksi ihmisille ilmoitettiin lauantaina?
Suljettiin välittömästi rikkomus ja ilmoitettiin kaikille heti, kun olimme tutkineet tilanteen perusteellisesti.
Aikooko Kickstarter työskennellä niiden kahden ihmisen kanssa, joiden tilit ovat vaarantuneet?
Joo. Olemme tavoitelleet heitä ja turvataneet heidän tilinsä.
Kirjautun Kickstarteriin Facebookilla. Sisäänkirjautumiseni on vaarantunut?
Ei. Varotoimenpiteenä palautamme kaikki Facebook-sisäänkirjautumistiedot. Facebook-käyttäjät voivat vain muodostaa yhteyden uudelleen, kun he tulevat Kickstarteriin.
Asiakkaat voivat ottaa huolenaiheista, joita ei ole käsitelty blogiviestissä, yhteyttä Kickstarteriin osoitteessa.
