Ang sikat na crowdfunding website na si Kickstarter ay inalerto ng mga customer noong Sabado sa isang paglabag sa seguridad ng mga server ng site. Habang walang pahiwatig na nakuha ng mga hacker ang impormasyon ng credit card, ang site ay nagsiwalat na ang ilang data ng gumagamit ay talagang ninakaw, kasama ang mga usernames, email address, mga pisikal na address ng mail, numero ng telepono, at naka-encrypt na mga password.
Noong Miyerkules ng gabi, ang mga opisyal ng pagpapatupad ng batas ay nakipag-ugnay sa Kickstarter at inalertuhan kami na hinanap at nakuha ng mga hacker ang hindi awtorisadong pag-access sa ilang data ng aming mga customer. Nang malaman ito, agad naming isinara ang paglabag sa seguridad at sinimulan ang pagpapalakas ng mga hakbang sa seguridad sa buong Kickstarter system.
Bagaman ang mga password na nakuha ng mga hacker ay naka-encrypt, posible pa rin na ang listahan ay maaaring mai-decrypted at ma-access ng mga hacker na may sapat na oras at kapangyarihan sa pag-compute. Ang maikli at simpleng mga password ay partikular na mahina laban sa mga tinatawag na "brute force" na pag-atake. Inirerekomenda ng Kickstarter na agad na baguhin ng mga gumagamit ang kanilang mga password sa site pati na rin sa anumang iba pang website kung saan ginagamit ang parehong password.
Bilang karagdagan sa email nito sa mga customer, inilathala ni Kickstarter ang isang post sa blog na nagdedetalye ng paglabag at nagbibigay ng isang maikling FAQ, na sinipi sa ibaba:
Paano naka-encrypt ang mga password?
Ang mga matatandang password ay natatanging inasnan at hinukay gamit ang SHA-1 nang maraming beses. Karamihan sa mga pinakabagong password ay nasubuan ng bcrypt.
Nag-iimbak ba ang data ng credit card ng Kickstarter?
Ang Kickstarter ay hindi nag-iimbak ng mga buong numero ng credit card. Para sa mga pangako sa mga proyekto sa labas ng US, naiimbak namin ang huling apat na numero at mga petsa ng pag-expire para sa mga credit card. Wala sa data na ito ang naka-access sa anumang paraan.
Kung si Kickstarter ay sinabihan ng Miyerkules ng gabi, bakit binibigyan ang mga tao noong Sabado?
Agad naming isinara ang paglabag at inabisuhan ang lahat sa lalong madaling panahon na masuri namin ang sitwasyon.
Makikipagtulungan ba si Kickstarter sa dalawang tao na ang mga account ay nakompromiso?
Oo. Naabot namin sa kanila at nai-secure ang kanilang mga account.
Gumagamit ako ng Facebook upang mag-log in sa Kickstarter. Nakompromiso ba ang aking pag-login?
Hindi. Bilang pag-iingat ay nai-reset namin ang lahat ng mga kredensyal sa pag-login sa Facebook. Ang mga gumagamit ng Facebook ay maaaring muling kumonekta kapag dumating sila sa Kickstarter.
Ang mga customer ay mag-aalala na hindi natugunan ng post sa blog ay maaaring makipag-ugnay sa Kickstarter sa.
