Популярный краудфандинговый сайт Kickstarter предупредил клиентов в субботу о взломе системы безопасности серверов сайта. Хотя нет никаких признаков того, что хакеры получили информацию о кредитной карте, сайт обнаружил, что некоторые пользовательские данные действительно были украдены, включая имена пользователей, адреса электронной почты, физические почтовые адреса, номера телефонов и зашифрованные пароли.
В среду вечером сотрудники правоохранительных органов связались с Kickstarter и предупредили нас, что хакеры искали и получили несанкционированный доступ к данным некоторых наших клиентов. Узнав об этом, мы сразу же закрыли брешь в безопасности и начали усиливать меры безопасности во всей системе Kickstarter.
Хотя пароли, полученные хакерами, были зашифрованы, все же возможно, что список может быть расшифрован и доступен хакерам с достаточным временем и вычислительной мощностью. Короткие, простые пароли особенно уязвимы для этих так называемых атак "грубой силы". Поэтому Kickstarter рекомендует пользователям немедленно изменить свои пароли на сайте, а также на любом другом веб-сайте, где используется тот же пароль.
В дополнение к электронному письму для клиентов Kickstarter опубликовал сообщение в блоге, в котором подробно описывается нарушение, и предоставляет краткий FAQ, приведенный ниже:
Как были зашифрованы пароли?
Старые пароли были уникальным образом посолены и обработаны SHA-1 несколько раз. Более свежие пароли хешируются с помощью bcrypt.
Хранит ли Kickstarter данные кредитной карты?
Kickstarter не хранит полные номера кредитных карт. Для обязательств по проектам за пределами США мы храним последние четыре цифры и даты истечения срока действия кредитных карт. Ни к одному из этих данных не было никакого доступа.
Если Kickstarter был уведомлен в среду вечером, почему люди были уведомлены в субботу?
Мы немедленно закрыли нарушение и уведомили всех, как только мы тщательно исследовали ситуацию.
Будет ли Kickstarter работать с двумя людьми, чьи учетные записи были взломаны?
Да. Мы обратились к ним и защитили их счета.
Я использую Facebook, чтобы войти в Kickstarter. Мой логин скомпрометирован?
Нет. В качестве меры предосторожности мы сбрасываем все учетные данные Facebook. Пользователи Facebook могут просто переподключиться, когда они приходят на Kickstarter.
Клиенты, у которых есть проблемы, не затронутые в блоге, могут связаться с Kickstarter по адресу
