Kickstarter informierte in ihrem Blog über einen Angriff am vergangenen Mittwoch. Hacker haben auf Benutzernamen, E-Mail-Adressen, Telefonnummern, Postanschriften und verschlüsselte Passwörter zugegriffen. Zum Glück wurden keine Kreditkartendaten durchgesickert.
Kickstarter beantwortete einige Fragen zu diesem Vorfall:
- Wie wurden Passwörter verschlüsselt? Ältere Passwörter wurden eindeutig gesalzen und mehrfach mit SHA-1 verdaut. Neuere Passwörter werden mit bcrypt gehasht.
- Speichert Kickstarter Kreditkartendaten? Kickstarter speichert keine vollständigen Kreditkartennummern. Bei Zusagen für Projekte außerhalb der USA speichern wir die letzten vier Ziffern und das Ablaufdatum für Kreditkarten. Auf keine dieser Daten wurde in irgendeiner Weise zugegriffen.
- Wenn Kickstarter Mittwoch Nacht benachrichtigt wurde, warum wurden die Leute am Samstag benachrichtigt? Wir haben die Lücke sofort geschlossen und alle benachrichtigt, sobald wir die Situation gründlich untersucht hatten.
- Arbeitet Kickstarter mit den beiden Personen zusammen, deren Konten kompromittiert wurden? Ja. Wir haben sie erreicht und ihre Konten gesichert.
- Ich benutze Facebook, um mich bei Kickstarter anzumelden. Ist mein Login kompromittiert? Vorsichtshalber setzen wir alle Facebook-Anmeldeinformationen zurück. Facebook-Nutzer können sich einfach wieder verbinden, wenn sie zu Kickstarter kommen.