El popular lloc web de crowdfunding Kickstarter va alertar dissabte els clients de la infracció de seguretat dels servidors del lloc. Tot i que no hi ha indicis que els pirates informàtics obtingueren informació de la targeta de crèdit, el lloc va revelar que certes dades d'usuari eren robades, com ara nom d'usuari, adreces de correu electrònic, adreces de correu físiques, números de telèfon i contrasenyes xifrades.
Dimecres a la nit, els agents de la policia van contactar amb Kickstarter i ens van alertar que els pirates informàtics havien buscat i obtingut accés no autoritzat a algunes de les dades dels nostres clients. En conèixer-ho, vam tancar immediatament l’incompliment de seguretat i vam començar a reforçar les mesures de seguretat a tot el sistema Kickstarter.
Tot i que les contrasenyes obtingudes pels pirates informàtics van ser xifrades, encara és possible que la llista pugui ser desxifrada i accedida per hackers amb suficient temps i poder informàtic. Les contrasenyes simples i curtes són especialment vulnerables a aquests anomenats atacs de “força bruta”. Per tant, Kickstarter recomana als usuaris que canviïn immediatament les seves contrasenyes al lloc així com en qualsevol altre lloc web on s’utilitzi la mateixa contrasenya.
A més del seu correu electrònic als clients, Kickstarter va publicar una publicació en el blog on es detallava l’incompliment i proporciona una breu pregunta freqüent, que es cita a continuació:
Com es van xifrar les contrasenyes?
Les contrasenyes més antigues es van salmar i es van digerir amb SHA-1 diverses vegades. Les contrasenyes més recents són hashed amb bcrypt.
Emmagatzema les dades de la targeta de crèdit Kickstarter?
Kickstarter no emmagatzema els números de targeta de crèdit. Per a les promeses de projectes fora dels Estats Units, emmagatzemem els quatre últims dígits i dates de caducitat de les targetes de crèdit. Cap d’aquestes dades no va ser accedida de cap manera.
Si Kickstarter va ser notificat dimecres a la nit, per què es va avisar a la gent dissabte?
De seguida vam tancar l’incompliment i vam avisar a tothom tan aviat com havíem investigat a fons la situació.
Kickstarter treballarà amb les dues persones els comptes dels quals es van veure compromesos?
Sí. Els hem atès i hem assegurat els seus comptes.
Utilitzo Facebook per iniciar la sessió a Kickstarter. Està compromès el meu accés?
No. Com a precaució, restablim totes les credencials d’inici de sessió de Facebook. Els usuaris de Facebook poden simplement tornar a connectar-se quan arriben a Kickstarter.
La preocupació per part dels clients no adreçada a la publicació del bloc pot contactar amb Kickstarter a.
