Populiari bendrojo finansavimo svetainė „Kickstarter“ šeštadienį perspėjo klientus apie svetainės serverių saugumo pažeidimus. Nors nėra duomenų, kad įsilaužėliai gaudavo kreditinės kortelės informaciją, svetainė atskleidė, kad kai kurie vartotojo duomenys iš tikrųjų buvo pavogti, įskaitant naudotojų vardus, el. Pašto adresus, fizinio pašto adresus, telefonų numerius ir užšifruotus slaptažodžius.
Trečiadienio vakarą teisėsaugos pareigūnai susisiekė su „Kickstarter“ ir perspėjo mus, kad įsilaužėliai ieškojo ir įgijo neteisėtą prieigą prie kai kurių mūsų klientų duomenų. Sužinoję tai, mes nedelsdami uždarėme saugumo pažeidimą ir pradėjome stiprinti saugumo priemones visoje „Kickstarter“ sistemoje.
Nors įsilaužėlių gauti slaptažodžiai buvo užšifruoti, vis tiek yra tikimybė, kad sąrašą iššifruoti ir prie jo prieiti įsilaužėliai turėjo pakankamai laiko ir skaičiavimo galios. Trumpi, paprasti slaptažodžiai yra ypač pažeidžiami šių vadinamųjų „žiaurios jėgos“ išpuolių. Todėl „Kickstarter“ vartotojams rekomenduoja nedelsiant pakeisti slaptažodžius svetainėje, taip pat bet kurioje kitoje svetainėje, kurioje naudojamas tas pats slaptažodis.
Be elektroninio pašto vartotojams, „Kickstarter“ paskelbė tinklaraščio įrašą, kuriame išsamiai aprašė pažeidimą, ir pateikia trumpus DUK, cituojamus žemiau:
Kaip buvo užšifruoti slaptažodžiai?
Senesni slaptažodžiai buvo unikaliai sūdyti ir kelis kartus suvirškinti naudojant SHA-1. Naujesni slaptažodžiai yra maišyti su bcrypt.
Ar „Kickstarter“ saugo kredito kortelės duomenis?
„Kickstarter“ neišsaugo visų kredito kortelių numerių. Jei įsipareigojame vykdyti projektus ne JAV, mes saugome paskutinius keturis skaitmenis ir kredito kortelių galiojimo laiką. Jokiais būdais nebuvo galima naudotis šiais duomenimis.
Jei „Kickstarter“ buvo pranešta trečiadienio vakarą, kodėl žmonės buvo informuoti šeštadienį?
Mes nedelsdami uždarėme pažeidimą ir pranešėme visiems, kai tik mes išsamiai ištyrėme situaciją.
Ar „Kickstarter“ dirbs su dviem žmonėmis, kurių sąskaitos buvo pažeistos?
Taip. Mes susisiekėme su jais ir užsitikrinome jų sąskaitas.
Aš naudoju „Facebook“ prisijungdamas prie „Kickstarter“. Ar mano prisijungimas yra pažeistas?
Ne. Atsargumo dėka mes atkuriame visus „Facebook“ prisijungimo duomenis. „Facebook“ vartotojai gali tiesiog prisijungti iš naujo, kai ateina į „Kickstarter“.
Klientai susidurs su problemomis, į kurias nežiūrima tinklaraščio įraše, galite susisiekti su „Kickstarter“ šiuo adresu:.
