Popüler kitle fonlaması sitesi Kickstarter, Cumartesi günü müşterileri sitenin sunucularının güvenlik ihlali konusunda uyardı. Bilgisayar korsanlarının kredi kartı bilgileri edindiğine dair hiçbir kanıt bulunmamakla birlikte, site, kullanıcı adları, e-posta adresleri, fiziksel posta adresleri, telefon numaraları ve şifreli şifreler dahil olmak üzere bazı kullanıcı verilerinin gerçekten çalındığını ortaya koydu.
Çarşamba gecesi, kolluk kuvvetleri Kickstarter ile temasa geçti ve bilgisayar korsanlarının bazı müşterilerimizin verilerine yetkisiz erişim arayışı içinde olduklarını bildirdi. Bunu öğrendikten sonra hemen güvenlik açığını kapattık ve Kickstarter sistemi boyunca güvenlik önlemlerini güçlendirmeye başladık.
Bilgisayar korsanları tarafından elde edilen şifreler şifreli olsa da, listenin bilgisayar korsanları tarafından yeterince zaman ve bilgi işlem gücü ile deşifre edilmesi ve erişilmesi mümkündür. Kısa, basit şifreler bu “kaba kuvvet” denilen saldırılara karşı özellikle savunmasızdır. Bu nedenle Kickstarter, kullanıcıların sitedeki ve aynı şifrenin kullanıldığı diğer tüm web sitelerindeki şifrelerini hemen değiştirmelerini önerir.
Müşterilere e-postalarına ek olarak, Kickstarter ihlali ayrıntılarıyla açıklayan bir blog yazısı yayınladı ve aşağıda belirtilen kısa bir SSS bölümünü sağladı:
Şifreler nasıl şifrelenmiştir?
Eski şifreler benzersiz bir şekilde tuzlanmış ve birçok kez SHA-1 ile sindirilmiştir. Daha yeni şifreler bcrypt ile karıştırılmıştır.
Kickstarter kredi kartı verilerini saklıyor mu?
Kickstarter kredi kartı numaralarının tamamını saklamaz. ABD dışındaki projelere verilen taahhütlerde kredi kartlarının son dört hanesini ve son kullanma tarihlerini saklarız. Bu verilerin hiçbirine hiçbir şekilde erişilemedi.
Kickstarter Çarşamba gecesi haberdar edildiyse, neden insanlar Cumartesi günü haberdar edildi?
İhlali derhal kapattık ve durumu iyice araştırdığımızda herkesi bilgilendirdik.
Kickstarter, hesapları tehlikeye atan iki kişiyle birlikte çalışacak mı?
Evet. Onlara ulaştık ve hesaplarını güvence altına aldık.
Facebook'u Kickstarter'a giriş yapmak için kullanıyorum. Giriş bilgilerim tehlikeye giriyor mu?
Hayır. Önlem olarak, tüm Facebook giriş bilgilerini sıfırladık. Facebook kullanıcıları Kickstarter'a geldiklerinde kolayca yeniden bağlanabilirler.
Müşteriler blog postası tarafından ele alınmayan endişeleri Kickstarter ile iletişim kurabilir.
