Відео: Exploding Kittens & The Key to Running a Successful Kickstarter | Elan Lee | Talks at Google (Вересень 2024)
Втома від порушення даних починається, і це лише лютий. Kickstarter - це останній гучний сайт, який потрібно зламати.
Правоохоронні органи повідомили Kickstarter про порушення 12 лютого, і Kickstarter негайно закрив уразливість, яка дозволила нападникам через, написав у блозі та електронному листі, надісланий користувачам, генеральний директор Kickstarter, Янсі Стріклер. Компанія "ретельно дослідила ситуацію" протягом останніх чотирьох днів, перш ніж повідомити користувачів, і команда вже почала "посилювати заходи безпеки" у всій своїй інфраструктурі, сказав Стріклер.
"Нам надзвичайно шкода, що це сталося. Ми встановили дуже високу планку того, як ми слугуємо нашій громаді, і цей інцидент розчаровує і засмучує", - сказав Стрікер.
Ні в кого немає приводу, як і раніше використовувати слабкі паролі або повторно використовувати облікові дані на кількох сайтах. Оскільки Security Watch неодноразово говорив (чи ми говоримо про LinkedIn, Twitter, Adobe, Evernote або Dropbox), нам потрібно використовувати надійні паролі, переконайтеся, що паролі унікальні, щоб порушення було порушено один веб-сайт не впливає на кілька облікових записів, і використовувати більш сильні методи аутентифікації, такі як включення двофакторної автентифікації або використання менеджера паролів. Коли Kickstarter приєднався до списку, досі застосовуються ті самі поради.
Що було вкрадено
Для користувачів Kickstarter є хороші та погані новини. Хороша новина полягає в тому, що ніяких даних про кредитну карту не можна було отримати. Це, швидше за все, тому, що Kickstarter ніколи не має даних вашої кредитної картки, оскільки всі платіжні операції обробляються та зберігаються Amazon Payments, а не Kickstarter. Хоча Kickstarter зберігає останні чотири цифри та терміни придатності для кредитних карток, які використовуються для фінансування проектів за межами США, ця інформація не була порушена.
Погана новина полягає в тому, що зловмисники потрапили до бази даних, що містить імена користувачів, електронні адреси, поштові адреси, телефонні номери та паролі. Поки здається, два облікові записи могли використовуватися шахрайським шляхом. Kickstarter вже захистив ці акаунти та повідомив користувачів.
Безпека пароля
Паролі були зашифровані, а це означає, що зловмисникам знадобиться певний час і небагато обчислювальних ресурсів, щоб їх зламати. Здається, деякі паролі були сольові та хешовані за допомогою алгоритму SHA1, а інші використовували набагато більш сильне шифрування bcrypt. Незважаючи на те, жодне шифрування не є повністю безвідмовно, і враховуючи, наскільки легко прокручувати потужні машини на Amazon Elastic Compute Cloud (EC2) або інших хмарних платформах, можна припустити, що ваш пароль згодом буде зламаний. Вам слід негайно змінити пароль.
Корисна новина для користувачів Kickstarter, які використовують свої облікові записи Facebook для входу в систему: їх облікові дані Facebook залишаються захищеними, оскільки ця інформація зберігається на серверах Facebook. Kickstarter скасував усі маркери, які дозволяють входити в Facebook, тому наступного разу, коли ви спробуєте увійти, вам буде запропоновано знову вручну зв’язати облікові записи.
Kickstarter рекомендував використовувати менеджер паролів, такий як LastPass або 1Password. Ознайомтеся з усіма перевіреними менеджерами паролів, які PCMag переглянув, включаючи LastPass 3.0 та Dashlane 2.0, два продукти, які отримали позначення нашого редактора.
Що далі?
"Ми тісно співпрацюємо з правоохоронними органами, і ми робимо все від нас залежне, щоб це не повторилося", - сказав Стріклі. Хоча Kickstarter робить все можливе, користувачі також повинні робити все можливе, щоб мінімізувати шкоду в разі іншого порушення.
Зважаючи на всі ці порушення, все чіткіше стає зрозуміло, що користувачам потрібно ставати більш безпечними. Не використовуйте паролі на сайтах, навіть якщо ви вважаєте їх менш важливими або вважаєте, що немає захищеної інформації. Паролі повинні бути довгими (більше восьми символів, якщо ви можете ними керувати) і складними з поєднанням чисел, розділових знаків та змішаних літер. Нарешті, подумайте про ввімкнення двофакторної автентифікації, якщо сайт пропонує цю функцію, і погляньте на використання менеджера паролів.
"З тих пір ми багато разів вдосконалювали наші процедури безпеки та системи. Ми продовжимо це робити протягом наступних тижнів і місяців", - сказав Стріклі.
