Trang web gây quỹ cộng đồng nổi tiếng Kickstarter đã cảnh báo khách hàng vào thứ Bảy về việc vi phạm an ninh máy chủ của trang web. Mặc dù không có dấu hiệu nào cho thấy tin tặc có được thông tin thẻ tín dụng, trang web này tiết lộ rằng một số dữ liệu người dùng thực sự đã bị đánh cắp, bao gồm tên người dùng, địa chỉ email, địa chỉ gửi thư thực, số điện thoại và mật khẩu được mã hóa.
Vào tối thứ Tư, các quan chức thực thi pháp luật đã liên lạc với Kickstarter và cảnh báo chúng tôi rằng tin tặc đã tìm kiếm và có được quyền truy cập trái phép vào một số dữ liệu của khách hàng. Khi biết điều này, chúng tôi đã ngay lập tức đóng cửa vi phạm an ninh và bắt đầu tăng cường các biện pháp bảo mật trên toàn hệ thống Kickstarter.
Mặc dù mật khẩu mà tin tặc có được đã được mã hóa, nhưng vẫn có khả năng danh sách này có thể được giải mã và truy cập bởi các tin tặc có đủ thời gian và sức mạnh tính toán. Các mật khẩu ngắn, đơn giản đặc biệt dễ bị tổn thương đối với các cuộc tấn công được gọi là bạo lực bạo lực. Do đó Kickstarter khuyên người dùng nên thay đổi ngay mật khẩu của mình trên trang web cũng như trên bất kỳ trang web nào khác có cùng mật khẩu được sử dụng.
Ngoài email gửi cho khách hàng, Kickstarter đã xuất bản một bài đăng trên blog chi tiết về vi phạm và cung cấp Câu hỏi thường gặp ngắn gọn, được trích dẫn dưới đây:
Mật khẩu được mã hóa như thế nào?
Mật khẩu cũ hơn đã được muối và tiêu hóa với SHA-1 nhiều lần. Nhiều mật khẩu gần đây được băm bằng bcrypt.
Kickstarter có lưu trữ dữ liệu thẻ tín dụng không?
Kickstarter không lưu trữ số thẻ tín dụng đầy đủ. Đối với các cam kết cho các dự án bên ngoài Hoa Kỳ, chúng tôi lưu trữ bốn chữ số cuối cùng và ngày hết hạn cho thẻ tín dụng. Không có dữ liệu này trong bất kỳ cách nào được truy cập.
Nếu Kickstarter được thông báo vào tối thứ Tư, tại sao mọi người lại được thông báo vào thứ Bảy?
Chúng tôi ngay lập tức đóng cửa vi phạm và thông báo cho mọi người ngay sau khi chúng tôi đã điều tra kỹ lưỡng tình hình.
Kickstarter sẽ làm việc với hai người có tài khoản bị xâm phạm?
Đúng. Chúng tôi đã liên hệ với họ và đã bảo mật tài khoản của họ.
Tôi sử dụng Facebook để đăng nhập vào Kickstarter. Là đăng nhập của tôi bị xâm phạm?
Không. Để phòng ngừa, chúng tôi đặt lại tất cả thông tin đăng nhập Facebook. Người dùng Facebook có thể chỉ cần kết nối lại khi đến Kickstarter.
Khách hàng sẽ lo lắng không được giải quyết bởi bài đăng trên blog có thể liên hệ với Kickstarter tại.
