Video: Zelfs jíj trapt in deze sluwe hackerstruc (November 2024)
Datalekmoeheid treedt op en het is pas februari. Kickstarter is de nieuwste spraakmakende site die kan worden gehackt.
Wetshandhavingsinstanties brachten Kickstarter op 12 februari op de hoogte van de inbreuk en Kickstarter sloot onmiddellijk de kwetsbaarheid waardoor de aanvallers erdoorheen kwamen, Yancey Strickler, CEO van Kickstarter, schreef op een blogpost en in een e-mail die naar gebruikers werd verzonden. Het bedrijf heeft de afgelopen vier dagen de situatie grondig onderzocht voordat het gebruikers op de hoogte bracht en het team is al begonnen met het versterken van beveiligingsmaatregelen in de hele infrastructuur, zei Strickler.
"Het spijt ons ongelooflijk dat dit is gebeurd. We hebben een zeer hoge lat gelegd voor hoe we onze gemeenschap dienen, en dit incident is frustrerend en verontrustend, " zei Strickler.
Er is geen excuus voor iemand om nog steeds zwakke wachtwoorden te gebruiken of inloggegevens op meerdere sites te gebruiken. Zoals Security Watch keer op keer heeft gezegd (of we het nu hebben over LinkedIn, Twitter, Adobe, Evernote of Dropbox, om er maar een paar te noemen), moeten we sterke wachtwoorden gebruiken, zorgen dat wachtwoorden uniek zijn, zodat een inbreuk op één site heeft geen invloed op meerdere accounts en gebruikt sterkere authenticatiemethoden zoals het inschakelen van tweefactorauthenticatie of het gebruik van een wachtwoordbeheerder. Met Kickstarter die toetreedt tot de lijst, geldt hetzelfde advies nog steeds.
Wat is er gestolen?
Voor Kickstarter-gebruikers is er goed en slecht nieuws. Het goede nieuws is dat er geen toegang is verkregen tot creditcardgegevens. Dat komt waarschijnlijk omdat Kickstarter in het begin nooit uw creditcardgegevens heeft, omdat alle betalingstransacties worden verwerkt en opgeslagen door Amazon Payments, niet door Kickstarter. Hoewel Kickstarter de laatste vier cijfers en vervaldatums opslaat voor creditcards die worden gebruikt om projecten buiten de Verenigde Staten te financieren, is deze informatie niet geschonden, aldus het bedrijf.
Het slechte nieuws is dat aanvallers wel toegang hebben gekregen tot de database met gebruikersnamen, e-mailadressen, postadressen, telefoonnummers en wachtwoorden. Tot nu toe lijken twee accounts mogelijk frauduleus te zijn gebruikt. Kickstarter heeft die accounts al opnieuw beveiligd en de gebruikers op de hoogte gebracht.
Wachtwoordbeveiliging
De wachtwoorden zijn gecodeerd, wat betekent dat aanvallers enige tijd en behoorlijk wat computerbronnen nodig hebben om ze te kraken. Het lijkt erop dat sommige wachtwoorden zijn gezouten en gehasht met behulp van het SHA1-algoritme, terwijl de anderen de veel sterkere bcrypt-codering hebben gebruikt. Hoe dan ook, geen enkele versleuteling is volledig mislukking en gezien hoe gemakkelijk het is om krachtige machines op Amazon Elastic Compute Cloud (EC2) of andere cloudplatforms te laten draaien, is het veilig om aan te nemen dat je wachtwoord uiteindelijk zal worden gekraakt. U moet uw wachtwoord absoluut meteen wijzigen.
Goed nieuws voor Kickstarter-gebruikers die hun Facebook-account gebruiken om in te loggen: hun Facebook-inloggegevens blijven veilig omdat die informatie wordt opgeslagen op Facebook-servers. Kickstarter heeft alle tokens ingetrokken waarmee Facebook-aanmeldingen mogelijk zijn, dus de volgende keer dat u probeert in te loggen, wordt u gevraagd de accounts opnieuw handmatig te koppelen.
Kickstarter raadde het gebruik van een wachtwoordbeheerder aan, zoals LastPass of 1Password. Bekijk alle wachtwoordbeheerders die PCMag heeft beoordeeld, inclusief LastPass 3.0 en Dashlane 2.0, twee producten die onze Editor's Choice-aanduiding hebben gekregen.
Wat nu?
"We werken nauw samen met wetshandhaving en doen er alles aan om te voorkomen dat dit opnieuw gebeurt", zei Strickley. Hoewel het goed is dat Kickstarter er alles aan doet, moeten gebruikers ook al het mogelijke doen om de schade bij een nieuwe inbreuk te minimaliseren.
Met al deze inbreuken wordt het steeds duidelijker dat gebruikers meer beveiligingsbewust moeten worden. Gebruik wachtwoorden niet op verschillende sites opnieuw, zelfs als u ze als minder belangrijk beschouwt of als u denkt dat er geen gevoelige informatie is om te beschermen. Wachtwoorden moeten lang zijn (meer dan acht tekens als u het kunt beheren) en complex zijn met een combinatie van cijfers, leestekens en hoofdletters. Overweeg ten slotte om tweefactorauthenticatie in te schakelen als de site de functie biedt en overweeg een wachtwoordbeheer te gebruiken.
"Sindsdien hebben we onze beveiligingsprocedures en -systemen op verschillende manieren verbeterd, en dat zullen we de komende weken en maanden blijven doen", aldus Strickley.
