Domov Varnostna ura Kickstarter kramp: kreditne kartice varne, gesla ukradena

Kickstarter kramp: kreditne kartice varne, gesla ukradena

Video: Predplačniška kartica Activa MasterCard (November 2024)

Video: Predplačniška kartica Activa MasterCard (November 2024)
Anonim

Utrujenost zaradi kršenja podatkov se začne in prihaja šele februar. Kickstarter je najnovejše odmevno spletno mesto, ki ga je mogoče zrušiti.

Organi pregona so Kickstarterja obvestili o kršitvi 12. februarja, Kickstarter pa je takoj zaprl ranljivost, ki je napadalcem omogočila, je Yancey Strickler, izvršni direktor Kickstarterja, zapisal na spletnem dnevniku in v e-poštnem sporočilu uporabnikom. Podjetje je "temeljito raziskalo situacijo" v zadnjih štirih dneh, preden je obvestilo uporabnike, ekipa pa je že začela "krepiti varnostne ukrepe" v celotni svoji infrastrukturi, je dejal Strickler.

"Neverjetno nam je žal, da se je to zgodilo. Postavili smo zelo visoko mero, kako služiti naši skupnosti, in ta incident je frustrirajoč in vznemirjajoč, " je dejal Strickler.

Nikomur ni opravičilo, da še vedno uporablja šibka gesla ali ponovno uporablja poverilnice na več mestih. Kot je Security Watch vedno znova rekel (ali govorimo o LinkedIn, Twitterju, Adobeu, Evernoteju ali Dropboxu), moramo uporabiti močna gesla in poskrbeti, da bodo gesla unikatna, da bo kršitev eno spletno mesto ne vpliva na več računov in uporablja močnejše metode preverjanja pristnosti, na primer vklop dvofaktorske overitve ali uporabo upravitelja gesel. Ko se Kickstarter pridruži seznamu, velja še vedno isti nasvet.

Kaj je bilo ukradeno

Za uporabnike Kickstarterja je nekaj dobrih in slabih novic. Dobra novica je, da ni bilo dostopa do podatkov o kreditni kartici. To je najverjetneje, ker Kickstarter nikoli ne začne s podatki vaše kreditne kartice, saj vse plačilne transakcije obdeluje in shranjuje Amazon Payments, ne Kickstarter. Čeprav Kickstarter shranjuje zadnje štiri številke in datume roka veljavnosti za kreditne kartice, ki se uporabljajo za financiranje projektov zunaj ZDA, ta informacija ni bila kršena, so sporočili iz družbe.

Slaba novica je, da so napadalci vdrli v bazo podatkov z uporabniškimi imeni, e-poštnimi naslovi, poštnimi naslovi, telefonskimi številkami in gesli. Zaenkrat se zdi, da sta bila dva računa morda uporabljena goljufivo. Kickstarter je te račune že ponovno zavaroval in uporabnike obvestil.

Varnost gesla

Gesla so bila šifrirana, kar pomeni, da bi napadalci potrebovali nekaj časa in kar nekaj računalniških virov, da bi jih zlomili. Kaže, da so bila nekatera gesla nasoljena in zmešana z algoritmom SHA1, druga pa so uporabila veliko močnejše šifriranje bcrypta. Ne glede na to, nobeno šifriranje ni popolnoma brezhibno in glede na to, kako enostavno je mogoče vrteti zmogljive stroje na Amazon Elastic Compute Cloud (EC2) ali drugih oblačnih platformah, je mogoče domnevati, da bo vaše geslo sčasoma zlomljeno. Takoj morate spremeniti geslo.

Del dobrih novic za uporabnike Kickstarterja, ki za prijavo uporabljajo svoje Facebook račune: njihove poverilnice na Facebooku ostanejo varne, saj so te informacije shranjene na Facebookovih strežnikih. Kickstarter je preklical vse žetone, ki omogočajo prijavo na Facebook, zato vas bo naslednjič, ko se poskusite prijaviti, ponovno ročno povezati.

Kickstarter priporoča uporabo upravitelja gesel, kot sta LastPass ali 1Password. Oglejte si vse pregledovalnike gesel, ki jih je pregledal PCMag, vključno z LastPass 3.0 in Dashlane 2.0, dvema izdelkoma, ki sta prejeli oznako izbire urednika.

Kaj je naslednje?

"Tesno sodelujemo z organi pregona in delamo vse, kar je v naši moči, da se to ne ponovi, " je dejal Strickley. Čeprav je dobro, da Kickstarter dela vse, kar lahko, pa bi uporabniki morali storiti tudi vse, da bi škodo zmanjšali v primeru druge kršitve.

Z vsemi temi kršitvami je vse bolj jasno, da morajo uporabniki postati varnejši. Gesla ne uporabljajte več na spletnih mestih, tudi če menite, da so manj pomembni ali če menite, da ni občutljivih podatkov, ki bi jih lahko zaščitili. Gesla morajo biti dolga (več kot osem znakov, če jih lahko upravljate) in zapletena z mešanico številk, ločil in mešanih črk. Na koncu razmislite o vklopu dvofaktorne overitve, če spletno mesto ponuja funkcijo, in preučite uporabo upravitelja gesel.

"Od takrat smo na številne načine izboljšali svoje varnostne postopke in sisteme. To bomo nadaljevali tudi v prihodnjih tednih in mesecih, " je dejal Strickley.

Kickstarter kramp: kreditne kartice varne, gesla ukradena