Video: Tjuvarna kapar ditt kontokort från en meters avstånd – så här skyddar du dig - Nyhetsmorgon (TV4) (September 2024)
Trötthet för dataöverträdelse går in och det är bara februari. Kickstarter är den senaste högprofilerade webbplatsen som har hackats.
De brottsbekämpande myndigheterna informerade Kickstarter om överträdelsen den 12 februari, och Kickstarter stängde omedelbart sårbarheten som gjorde det möjligt för angriparna, skrev Yancey Strickler, Kickstarts VD, i ett blogginlägg och i ett e-postmeddelande till användare. Företaget "undersökte situationen" noggrant under de senaste fyra dagarna innan de meddelade användare, och teamet har redan börjat "stärka säkerhetsåtgärderna" i hela sin infrastruktur, sade Strickler.
"Vi är oerhört ledsna över att detta hände. Vi sätter en mycket hög barriär för hur vi tjänar vårt samhälle, och denna incident är frustrerande och upprörande, " sade Strickler.
Det finns ingen ursäkt för någon att fortfarande använder svaga lösenord eller återanvända referenser på flera webbplatser. Som Security Watch har sagt gång på gång, (oavsett om vi talar om LinkedIn, Twitter, Adobe, Evernote eller Dropbox, för att nämna några), måste vi använda starka lösenord, se till att lösenord är unika så att det bryter mot en webbplats påverkar inte flera konton och använder starkare autentiseringsmetoder som att slå på tvåfaktorautentisering eller använda ett lösenordshanterare. När Kickstarter ansluter sig till listan gäller fortfarande samma råd.
Vad stal
För Kickstarter-användare finns det goda nyheter och dåliga nyheter. Den goda nyheten är att inga kreditkortsuppgifter har nåtts. Det är troligtvis för att Kickstarter aldrig har dina kreditkortsuppgifter till att börja med, eftersom alla betalningstransaktioner behandlas och lagras av Amazon Payments, inte av Kickstarter. Medan Kickstarter lagrar de sista fyra siffrorna och utgångsdatum för kreditkort som används för att finansiera projekt utanför USA, har denna information inte åsidosatts, säger företaget.
Den dåliga nyheten är att angripare kom in i databasen med användarnamn, e-postadresser, e-postadresser, telefonnummer och lösenord. Hittills verkar det som om två konton har använts bedrägligt. Kickstarter har redan säkrat dessa konton och meddelat användarna.
Lösenordssäkerhet
Lösenorden var krypterade, vilket innebär att det skulle ta angripare lite tid och en hel del datoressurser att knäcka dem. Det verkar som att några av lösenorden saltades och hashades med hjälp av SHA1-algoritm, medan de andra använde den mycket starkare bcrypt-krypteringen. Oavsett, ingen kryptering är helt misslyckad och med tanke på hur lätt det är att snurra upp kraftfulla maskiner på Amazon Elastic Compute Cloud (EC2) eller andra molnplattformar, är det säkert att anta att ditt lösenord så småningom kommer att bli knäckt. Du bör absolut ändra ditt lösenord direkt.
En bra nyhet för Kickstarter-användare som använder sina Facebook-konton för att logga in: deras Facebook-referenser förblir säkra eftersom den informationen lagras på Facebook-servrar. Kickstarter har återkallat alla tokens som tillåter Facebook-inloggningar, så nästa gång du försöker logga in kommer du att uppmanas att manuellt länka kontona igen.
Kickstarter rekommenderade att använda en lösenordshanterare som LastPass eller 1Password. Kolla in alla lösenordshanterare PCMag har granskat, inklusive LastPass 3.0 och Dashlane 2.0, två produkter som fick vår Editor's Choice-beteckning.
Vad händer nu?
"Vi arbetar nära med brottsbekämpning och vi gör allt som står i vår makt för att förhindra att detta händer igen, " sade Strickley. Även om det är bra Kickstarter gör allt det kan, bör användarna också göra allt för att minimera skadan om ytterligare ett brott.
Med alla dessa överträdelser blir det allt tydligare att användare måste bli mer säkerhetsskyndiga. Återanvänd inte lösenord på webbplatser, även om du anser att de är mindre viktiga eller att det inte finns någon känslig information att skydda. Lösenord måste vara långa (mer än åtta tecken om du kan hantera det) och komplexa med en blandning av siffror, skiljetecken och blandade bokstäver. Slutligen kan du överväga att aktivera tvåfaktorautentisering om webbplatsen erbjuder funktionen och undersöka hur du använder ett lösenordshanterare.
"Vi har sedan dess förbättrat våra säkerhetsförfaranden och system på många sätt och vi kommer att fortsätta göra det under veckorna och månaderna framöver, " sade Strickley.
