Den populära crowdfundingswebbplatsen Kickstarter varnade på lördag för ett säkerhetsbrott mot webbplatsens servrar. Det finns inget som tyder på att hackarna fick kreditkortsinformation, men webbplatsen avslöjade att vissa användardata verkligen stulits, inklusive användarnamn, e-postadresser, fysiska adresser, telefonnummer och krypterade lösenord.
På onsdag kväll kontaktade brottsbekämpande tjänstemän Kickstarter och varnade oss för att hackare hade sökt och fått obehörig tillgång till vissa av våra kunders data. När vi fick veta detta stängde vi omedelbart säkerhetsöverträdelsen och började stärka säkerhetsåtgärderna i hela Kickstarter-systemet.
Även om lösenorden som erhållits av hackarna var krypterade är det fortfarande möjligt att listan kan dekrypteras och nås av hackare med tillräckligt med tid och datorkraft. Korta, enkla lösenord är särskilt sårbara för dessa så kallade "brute force" -attacker. Kickstarter rekommenderar därför att användare omedelbart ändrar sina lösenord på webbplatsen såväl som på någon annan webbplats där samma lösenord används.
Förutom sin e-post till kunder, publicerade Kickstarter ett blogginlägg med detaljer om brottet och ger en kort FAQ, citerade nedan:
Hur krypterades lösenord?
Äldre lösenord saltades unikt och digererades med SHA-1 flera gånger. Nyare lösenord hashas med bcrypt.
Lagrar Kickstarter kreditkortsdata?
Kickstarter lagrar inte fulla kreditkortsnummer. För pantsättningar till projekt utanför USA lagrar vi de fyra sista siffrorna och utgångsdatum för kreditkort. Ingen av dessa uppgifter var på något sätt åtkomst.
Om Kickstarter blev underrättad på onsdag kväll, varför blev människor underrättade på lördag?
Vi stängde omedelbart överträdelsen och meddelade alla så snart vi grundligt hade undersökt situationen.
Kommer Kickstarter att arbeta med de två personer vars konton komprometterades?
Ja. Vi har nått dem och har säkrat deras konton.
Jag använder Facebook för att logga in på Kickstarter. Är min inloggning komprometterad?
Nej. Som en försiktighetsåtgärd återställer vi alla inloggningsuppgifter på Facebook. Facebook-användare kan helt enkelt ansluta igen när de kommer till Kickstarter.
Kunder kommer problem som inte tas upp av blogginlägget kan kontakta Kickstarter på.
