Video: This One Kickstarter Hack Might Just Get You Funded… (Listopad 2024)
Únava v narušení dat je nastavena a je teprve únor. Kickstarter je nejnovější vysoce postavený web, který má být hacknut.
Orgány činné v trestním řízení informovaly Kickstarter o porušení 12. února a Kickstarter okamžitě uzavřel zranitelnost, která útočníkům umožnila, Yancey Strickler, generální ředitel Kickstarteru, napsal na blogový příspěvek a e-mail zaslaný uživatelům. Společnost „důkladně prozkoumala situaci“ za poslední čtyři dny před oznámením uživatelům a tým již začal „posilovat bezpečnostní opatření“ v celé své infrastruktuře, řekl Strickler.
"Je nám nesmírně líto, že se to stalo. Nastavili jsme velmi vysoký sloupec toho, jak sloužíme naší komunitě, a tento incident je frustrující a znepokojující, " řekl Strickler.
Neexistuje žádná omluva, aby kdokoli stále používal slabá hesla nebo opakované použití pověření na více webech. Jak Security Watch říkala znovu a znovu (ať už mluvíme o LinkedIn, Twitteru, Adobe, Evernote nebo Dropbox), musíme použít silná hesla, ujistěte se, že hesla jsou jedinečná, takže porušení na jeden web nemá vliv na více účtů a používá silnější metody ověřování, jako je zapnutí dvoufaktorové autentizace nebo použití správce hesel. Když se Kickstarter připojil k seznamu, stále platí stejná rada.
Co bylo ukradeno
Pro uživatele Kickstarteru jsou dobré a špatné zprávy. Dobrou zprávou je, že nebyla získána žádná data o kreditní kartě. To je s největší pravděpodobností proto, že Kickstarter nikdy nemá data o vaší kreditní kartě, protože všechny platební transakce zpracovává a ukládá Amazon Payments, nikoli Kickstarter. Zatímco Kickstarter uchovává poslední čtyři číslice a data vypršení platnosti u kreditních karet používaných k financování projektů mimo USA, tato informace nebyla porušena, uvedla společnost.
Špatnou zprávou je, že útočníci se dostali do databáze obsahující uživatelská jména, e-mailové adresy, poštovní adresy, telefonní čísla a hesla. Zatím se zdá, že dva účty mohly být použity podvodně. Kickstarter již tyto účty znovu zabezpečil a informoval uživatele.
Zabezpečení heslem
Hesla byla zašifrována, což znamená, že útočníkům by zabralo nějaký čas a dost počítačových prostředků. Zdá se, že některá hesla byla solena a hashována pomocí algoritmu SHA1, zatímco ostatní používali mnohem silnější šifrování bcrypt. Bez ohledu na to, že žádné šifrování není zcela progresivní a vzhledem k tomu, jak snadné je roztočit výkonné stroje na Amazon Elastic Compute Cloud (EC2) nebo na jiných cloudových platformách, je bezpečné předpokládat, že vaše heslo bude nakonec prasklé. Okamžitě byste měli změnit své heslo.
Část dobré zprávy pro uživatele Kickstarter, kteří se přihlašují pomocí svých účtů Facebook: jejich přihlašovací údaje pro Facebook zůstávají v bezpečí, protože tyto informace jsou uloženy na serverech Facebook. Kickstarter zrušil všechny tokeny, které umožňují přihlášení na Facebook, takže při příštím pokusu o přihlášení budete vyzváni, abyste účty znovu ručně propojili.
Kickstarter doporučuje používat správce hesel, jako je LastPass nebo 1Password. Podívejte se na všechny manažery hesel, které společnost PCMag zkontrolovala, včetně LastPass 3.0 a Dashlane 2.0, dvou produktů, které obdržely označení Editor výběru.
Co dále?
"Úzce spolupracujeme s donucovacími orgány a děláme vše, co je v našich silách, abychom tomu zabránili, " dodal Strickley. I když je to dobré, Kickstarter dělá vše, co může, uživatelé by také měli dělat vše pro to, aby minimalizovali poškození v případě dalšího porušení.
Se všemi těmito porušeními je stále jasnější, že uživatelé musí být důvtipnější. Nepoužívejte opakovaně hesla napříč weby, i když je považujete za méně důležitá nebo pokud nejsou k dispozici žádné citlivé informace, které by bylo možné chránit. Hesla musí být dlouhá (více než osm znaků, pokud ji můžete spravovat) a složitá se směsí čísel, interpunkčních znamének a malých písmen. Pokud web tuto funkci nabízí, zvažte zapnutí dvoufaktorové autentizace a prozkoumejte použití správce hesel.
"Od té doby jsme vylepšili naše bezpečnostní postupy a systémy mnoha způsoby a budeme to dělat i v následujících týdnech a měsících, " řekl Strickley.
