Видео: How To Raise $100,000 On Kickstarter (Ноябрь 2024)
Наступает утечка данных, и это только февраль. Kickstarter - это последний популярный сайт для взлома.
Правоохранительные органы сообщили Kickstarter о нарушении 12 февраля, и Kickstarter немедленно закрыл уязвимость, которая позволила злоумышленникам проникнуть в ситуацию, - написал в своем блоге и в электронном письме пользователям Янси Стриклер, генеральный директор Kickstarter. По словам Стриклера, за последние четыре дня компания «тщательно изучила ситуацию», прежде чем уведомить пользователей, и команда уже начала «усиливать меры безопасности» во всей своей инфраструктуре.
«Мы невероятно сожалеем о том, что это произошло. Мы установили очень высокую планку обслуживания нашего сообщества, и этот инцидент расстраивает и расстраивает», - сказал Стриклер.
Никто не может оправдать использование слабых паролей или повторное использование учетных данных на нескольких сайтах. Как Security Watch повторяет снова и снова, (если мы говорим о LinkedIn, Twitter, Adobe, Evernote или Dropbox, чтобы назвать несколько), мы должны использовать надежные пароли, чтобы убедиться, что пароли уникальны, так что нарушение один сайт не влияет на несколько учетных записей и использует более строгие методы аутентификации, такие как включение двухфакторной аутентификации или использование менеджера паролей. С присоединением Kickstarter к списку все тот же совет остается в силе.
Что было украдено
Для пользователей Kickstarter есть хорошие и плохие новости. Хорошей новостью является то, что данные кредитной карты не были доступны. Скорее всего, потому что Kickstarter никогда не имеет данных вашей кредитной карты, поскольку все платежные транзакции обрабатываются и хранятся в Amazon Payments, а не в Kickstarter. Хотя Kickstarter хранит последние четыре цифры и даты истечения срока действия кредитных карт, используемых для финансирования проектов за пределами США, эта информация не была взломана, говорится в сообщении компании.
Плохая новость заключается в том, что злоумышленники попали в базу данных, содержащую имена пользователей, адреса электронной почты, почтовые адреса, номера телефонов и пароли. Пока что кажется, что два аккаунта могли быть использованы обманным путем. Kickstarter уже повторно защитил эти учетные записи и уведомил пользователей.
Безопасность пароля
Пароли были зашифрованы, а это значит, что злоумышленникам потребуется некоторое время и немало вычислительных ресурсов для их взлома. Похоже, что некоторые пароли были посолены и хэшированы с использованием алгоритма SHA1, в то время как другие использовали гораздо более надежное шифрование bcrypt. Несмотря на это, ни одно шифрование не является полностью надежным, и, учитывая, насколько легко раскрутить мощные машины на Amazon Elastic Compute Cloud (EC2) или других облачных платформах, можно предположить, что ваш пароль в конечном итоге будет взломан. Вы должны немедленно сменить пароль.
Хорошая новость для пользователей Kickstarter, которые используют свои учетные записи Facebook для входа в систему: их учетные данные Facebook остаются в безопасности, поскольку эта информация хранится на серверах Facebook. Kickstarter отозвал все токены, которые разрешают вход в Facebook, поэтому при следующем входе в систему вам будет предложено снова вручную связать учетные записи.
Kickstarter рекомендует использовать менеджер паролей, такой как LastPass или 1Password. Ознакомьтесь со всеми менеджерами паролей, которые рассмотрела PCMag, включая LastPass 3.0 и Dashlane 2.0, два продукта, которые получили обозначение «Выбор редакции».
Что дальше?
«Мы тесно сотрудничаем с правоохранительными органами и делаем все от нас зависящее, чтобы это не повторилось», - сказал Стрикли. Хотя Kickstarter делает все возможное, пользователи должны также делать все возможное, чтобы минимизировать ущерб в случае другого нарушения.
Со всеми этими нарушениями становится все более очевидным, что пользователям нужно больше разбираться в безопасности. Не используйте пароли на разных сайтах, даже если вы считаете их менее важными или считаете, что конфиденциальную информацию не нужно защищать. Пароли должны быть длинными (более восьми символов, если вы можете управлять ими) и сложными со смесью цифр, знаков препинания и букв в разных регистрах. Наконец, рассмотрите возможность включения двухфакторной аутентификации, если сайт предлагает эту функцию, и изучите использование менеджера паролей.
«С тех пор мы усовершенствовали наши процедуры и системы безопасности множеством способов, и мы будем продолжать делать это в ближайшие недели и месяцы», - сказал Стрикли.