Populaire crowdfunding-website Kickstarter waarschuwde klanten zaterdag voor een inbreuk op de beveiliging van de servers van de site. Hoewel er geen aanwijzingen zijn dat de hackers creditcardinformatie hebben verkregen, onthulde de site dat sommige gebruikersgegevens inderdaad zijn gestolen, waaronder gebruikersnamen, e-mailadressen, fysieke postadressen, telefoonnummers en gecodeerde wachtwoorden.
Woensdagavond namen wetshandhavingsfunctionarissen contact op met Kickstarter en waarschuwden ons dat hackers ongeoorloofde toegang tot de gegevens van sommige van onze klanten hadden gezocht en verkregen. Toen we dit leerden, hebben we de beveiligingslek onmiddellijk gesloten en begonnen we de beveiligingsmaatregelen in het Kickstarter-systeem te versterken.
Hoewel de wachtwoorden die door de hackers zijn verkregen, zijn gecodeerd, is het nog steeds mogelijk dat de lijst kan worden gedecodeerd en door hackers met voldoende tijd en rekenkracht kan worden geopend. Korte, eenvoudige wachtwoorden zijn bijzonder kwetsbaar voor deze zogenaamde "brute force" -aanvallen. Kickstarter beveelt daarom aan dat gebruikers hun wachtwoord op de site en op elke andere website waar hetzelfde wachtwoord wordt gebruikt onmiddellijk wijzigen.
Naast zijn e-mail aan klanten publiceerde Kickstarter een blogpost met details over de inbreuk en biedt een korte FAQ, hieronder geciteerd:
Hoe werden wachtwoorden gecodeerd?
Oudere wachtwoorden werden uniek gezouten en meerdere keren verteerd met SHA-1. Meer recente wachtwoorden worden gehasht met bcrypt.
Slaat Kickstarter creditcardgegevens op?
Kickstarter slaat geen volledige creditcardnummers op. Voor toezeggingen aan projecten buiten de VS slaan we de laatste vier cijfers en de vervaldatums voor creditcards op. Geen van deze gegevens was op enigerlei wijze toegankelijk.
Als Kickstarter woensdagavond op de hoogte werd gesteld, waarom werden mensen dan op zaterdag op de hoogte gebracht?
We hebben de inbreuk onmiddellijk gesloten en iedereen op de hoogte gebracht zodra we de situatie grondig hadden onderzocht.
Werkt Kickstarter met de twee mensen van wie de accounts zijn aangetast?
Ja. We hebben contact met hen opgenomen en hun accounts beveiligd.
Ik gebruik Facebook om in te loggen op Kickstarter. Is mijn login gecompromitteerd?
Nee. Uit voorzorg hebben we alle Facebook-inloggegevens opnieuw ingesteld. Facebook-gebruikers kunnen eenvoudig opnieuw verbinding maken wanneer ze naar Kickstarter komen.
Klanten die zich niet bezighouden met de blogpost kunnen contact opnemen met Kickstarter op.
