10:52
16/2/2014

* Wyciek danych z Kickstartera

Oto e-mail, jaki otrzymują użytkownicy Kickstartera. W skrócie: wykradziono wasze dane i “zaszyfrowane hasło” (tak naprawdę, zahashowane SHA-1), ale nie dane kart kredytowych. Zmieńcie hasła na Kickstarterze i w innych serwisach, w których korzystaliście z takich samych haseł (chociaż już może być za późno, atak miał miejsce zapewne dużo wcześniej, skoro dopiero w środę Kickstarted dowiedział się o nim od organów ścigania — sprawdźcie więc historię logowań na innych waszych kontach, na których mieliście to samo hasło).

On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers’ data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.

No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account.

While no credit card data was accessed, some information about our customers was. Accessed information included usernames, email addresses, mailing addresses, phone numbers, and encrypted passwords. Actual passwords were not revealed, however it is possible for a malicious person with enough computing power to guess and crack an encrypted password, particularly a weak or obvious one.

As a precaution, we strongly recommend that you change the password of your Kickstarter account, and other accounts where you use this password.

To change your password, log in to your account at Kickstarter.com and look for the banner at the top of the page to create a new, secure password. We recommend you do the same on other sites where you use this password. For additional help with password security, we recommend tools like 1Password and LastPass.

We’re incredibly sorry that this happened. We set a very high bar for how we serve our community, and this incident is frustrating and upsetting. We have since improved our security procedures and systems in numerous ways, and we will continue to do so in the weeks and months to come. We are working closely with law enforcement, and we are doing everything in our power to prevent this from happening again.

Kickstarter is a vibrant community like no other, and we can’t thank you enough for being a part of it. Please let us know if you have any questions, comments, or concerns. You can reach us at accountsecurity@kickstarter.com.

Thank you,

Yancey Strickler
Kickstarter CEO

Atakujący mogli poznać wasze preferencje (typy projektów jakie wsparliście) — i być może potrafią na tym zarobić, większym jednak zagrożeniem jest to, że złamią hasła i będą starali się sprawdzić, czy nie macie takich samych ustawiony w innych usługach (np. Amazonie, PayPalu, eBay’u) — bo tam mogą “zarobić”.

Za przesłanie e-maila dziękujemy Bartoszowi, Konradowi, Igorowi, Adamowi i Pawłowi.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


12 komentarzy

Dodaj komentarz
  1. A miałem właśnie przesłać do Was maila.
    Też takiego dostałem, hasło już zmienione. Na szczęście od BARDZO dawna nie używam takiego samego hasła w kilku różnych serwisach :)

  2. Logowałem się przez FB. Jestem bezpieczny?

    • Tak. Wysłali innego maila dla użytkowników Facebooka, oto fragment:
      “As a precaution, we have reset your Facebook login credentials to secure your account. No further action is necessary on your part.”

  3. A co to jest Kickstarter?

    • Rozrusznik w motocyklu.

    • Nie wiem po co go wkręcasz, przecież jest informatykiem i doskonale wie, że to serwis randkowy dla geeków.

    • A co to jest? “Va banque”?

  4. A jesli maila sie nie otrzymalo to oznacza ze akurat moje dane nie wyciekly? Czy wyciekla cala baza?

  5. Glupota uzywac wszedzie takich samych hasel. Polecam lastpass, i generator hasel.

  6. Updated at 5:45pm with some common questions and answers:

    How were passwords encrypted?

    Older passwords were uniquely salted and digested with SHA-1 multiple times. More recent passwords are hashed with bcrypt.

    Does Kickstarter store credit card data?

    Kickstarter does not store full credit card numbers. For pledges to projects outside of the US, we store the last four digits and expiration dates for credit cards. None of this data was in any way accessed.

    If Kickstarter was notified Wednesday night, why were people notified on Saturday?

    We immediately closed the breach and notified everyone as soon we had thoroughly investigated the situation.

    Will Kickstarter work with the two people whose accounts were compromised?

    Yes. We have reached out to them and have secured their accounts.

    I use Facebook to log in to Kickstarter. Is my login compromised?

    No. As a precaution we reset all Facebook login credentials. Facebook users can simply reconnect when they come to Kickstarter.

  7. Jestem hipsterem i nie mam konta na Kickstarterze.
    Czytam tylko blogi nieindeksowane przez Google ze wszystkimi linkami no-referer. Nie używam Facebooka, Androida i samochodów z LPG. W przeciwieństwie do większości oglądam tylko TVN, czytam Wyborczą i podziwiam Żydów. WTC zostało zniszczone przez Al-Kaidę to pewne.
    Ogólnie wszystko robię inaczej i wyjątkowo oryginalnie. Wszędzie moim loginem jest hasło, a hasłem login.

  8. I motocyklistą ale kickstartera nie mam :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: