Kickstarter сообщил в своем блоге о нападении, которое было совершено в прошлую среду. Хакеры получили доступ к именам пользователей, адресам электронной почты, номерам телефонов, почтовым адресам и зашифрованным паролям. К счастью, никакие реквизиты кредитной карты не были пропущены.
Kickstarter ответил на несколько вопросов об этом инциденте:
- Как были зашифрованы пароли? Старые пароли были уникальным образом посолены и обработаны SHA-1 несколько раз. Более свежие пароли хешируются с помощью bcrypt.
- Хранит ли Kickstarter данные кредитной карты? Kickstarter не хранит полные номера кредитных карт. Для обязательств по проектам за пределами США мы храним последние четыре цифры и даты истечения срока действия кредитных карт. Ни к одному из этих данных не было никакого доступа.
- Если Kickstarter был уведомлен в среду вечером, почему люди были уведомлены в субботу? Мы немедленно закрыли нарушение и уведомили всех, как только мы тщательно исследовали ситуацию.
- Будет ли Kickstarter работать с двумя людьми, чьи учетные записи были взломаны? Да. Мы обратились к ним и защитили их счета.
- Я использую Facebook, чтобы войти в Kickstarter. Мой логин скомпрометирован? Нет. В качестве меры предосторожности мы сбрасываем все учетные данные Facebook. Пользователи Facebook могут просто переподключиться, когда они приходят на Kickstarter.