Il popolare sito Web di crowdfunding Kickstarter ha avvisato i clienti sabato di una violazione della sicurezza dei server del sito. Sebbene non vi sia alcuna indicazione che gli hacker abbiano ottenuto informazioni sulla carta di credito, il sito ha rivelato che alcuni dati degli utenti sono stati effettivamente rubati, inclusi nomi utente, indirizzi e-mail, indirizzi fisici, numeri di telefono e password crittografate.
Mercoledì sera, le forze dell'ordine hanno contattato Kickstarter e ci hanno avvisato che gli hacker avevano cercato e ottenuto l'accesso non autorizzato ad alcuni dei dati dei nostri clienti. Dopo aver appreso questo, abbiamo immediatamente chiuso la violazione della sicurezza e abbiamo iniziato a rafforzare le misure di sicurezza in tutto il sistema Kickstarter.
Sebbene le password ottenute dagli hacker fossero crittografate, è ancora possibile che l'elenco possa essere decrittografato e accessibile agli hacker con tempo e potenza di elaborazione sufficienti. Le password brevi e semplici sono particolarmente vulnerabili a questi attacchi cosiddetti "forza bruta". Kickstarter raccomanda pertanto agli utenti di modificare immediatamente le proprie password sul sito e su qualsiasi altro sito Web in cui viene utilizzata la stessa password.
Oltre alla sua e-mail ai clienti, Kickstarter ha pubblicato un post sul blog che descrive in dettaglio la violazione e fornisce una breve FAQ, citato di seguito:
Come sono state crittografate le password?
Le password precedenti venivano salate in modo univoco e digerite più volte con SHA-1. Le password più recenti sono sottoposte a hash con bcrypt.
Kickstarter memorizza i dati della carta di credito?
Kickstarter non memorizza i numeri completi delle carte di credito. Per impegni a progetti al di fuori degli Stati Uniti, memorizziamo le ultime quattro cifre e le date di scadenza delle carte di credito. Nessuno di questi dati era in alcun modo accessibile.
Se Kickstarter è stato avvisato mercoledì sera, perché le persone sono state avvisate sabato?
Abbiamo immediatamente chiuso la violazione e comunicato a tutti non appena avessimo studiato a fondo la situazione.
Kickstarter lavorerà con le due persone i cui account sono stati compromessi?
Sì. Li abbiamo contattati e abbiamo garantito i loro account.
Uso Facebook per accedere a Kickstarter. Il mio accesso è compromesso?
No. Per precauzione, ripristiniamo tutte le credenziali di accesso a Facebook. Gli utenti di Facebook possono semplicemente riconnettersi quando arrivano su Kickstarter.
I clienti che non saranno interessati dal post del blog possono contattare Kickstarter all'indirizzo.
