Die beliebte Crowdfunding-Website Kickstarter machte Kunden am Samstag auf eine Sicherheitsverletzung der Server der Website aufmerksam. Es gibt zwar keinen Hinweis darauf, dass die Hacker Kreditkarteninformationen erhalten haben, die Website ergab jedoch, dass einige Benutzerdaten gestohlen wurden, darunter Benutzernamen, E-Mail-Adressen, Postanschriften, Telefonnummern und verschlüsselte Passwörter.
Am Mittwochabend setzten sich Strafverfolgungsbeamte mit Kickstarter in Verbindung und machten uns darauf aufmerksam, dass Hacker unberechtigten Zugriff auf einige Daten unserer Kunden gesucht und erlangt hatten. Als wir das erfuhren, schlossen wir sofort die Sicherheitslücke und verstärkten die Sicherheitsmaßnahmen im gesamten Kickstarter-System.
Obwohl die von den Hackern erhaltenen Passwörter verschlüsselt wurden, ist es dennoch möglich, dass die Liste von Hackern mit genügend Zeit und Rechenleistung entschlüsselt und aufgerufen werden kann. Kurze, einfache Passwörter sind besonders anfällig für diese sogenannten Brute-Force-Angriffe. Kickstarter empfiehlt daher, dass Benutzer ihre Passwörter auf der Website sowie auf jeder anderen Website, auf der dasselbe Passwort verwendet wird, sofort ändern.
Zusätzlich zu seiner E-Mail an Kunden hat Kickstarter einen Blog-Beitrag veröffentlicht, in dem die Sicherheitsverletzung beschrieben und eine kurze FAQ bereitgestellt wird, die im Folgenden aufgeführt ist:
Wie wurden Passwörter verschlüsselt?
Ältere Passwörter wurden eindeutig gesalzen und mehrfach mit SHA-1 verdaut. Neuere Passwörter werden mit bcrypt gehasht.
Speichert Kickstarter Kreditkartendaten?
Kickstarter speichert keine vollständigen Kreditkartennummern. Bei Zusagen für Projekte außerhalb der USA speichern wir die letzten vier Ziffern und das Ablaufdatum für Kreditkarten. Auf keine dieser Daten wurde in irgendeiner Weise zugegriffen.
Wenn Kickstarter Mittwoch Nacht benachrichtigt wurde, warum wurden die Leute am Samstag benachrichtigt?
Wir haben die Lücke sofort geschlossen und alle benachrichtigt, sobald wir die Situation gründlich untersucht hatten.
Arbeitet Kickstarter mit den beiden Personen zusammen, deren Konten kompromittiert wurden?
Ja. Wir haben sie erreicht und ihre Konten gesichert.
Ich benutze Facebook, um mich bei Kickstarter anzumelden. Ist mein Login kompromittiert?
Vorsichtshalber setzen wir alle Facebook-Anmeldeinformationen zurück. Facebook-Nutzer können sich einfach wieder verbinden, wenn sie zu Kickstarter kommen.
Kunden, die Bedenken haben, die nicht im Blogbeitrag angesprochen wurden, können sich unter an Kickstarter wenden.
