Video: GIVER MIN SØSTER MIT DANKORT (Oktober 2024)
Udmattelse af dataovertrædelse er ved at begynde, og det er kun februar. Kickstarter er det seneste højprofilerede websted, der bliver hacket.
Retshåndhævende myndigheder oplyste Kickstarter om overtrædelsen den 12. februar, og Kickstarter lukkede øjeblikkeligt sårbarheden, der gjorde det muligt for angriberen gennem, skrev Yancey Strickler, Kickstarts administrerende direktør, i et blogindlæg og i en e-mail sendt til brugerne. Virksomheden "undersøgte situationen grundigt" i løbet af de sidste fire dage før underretning af brugerne, og teamet er allerede begyndt med at "styrke sikkerhedsforanstaltninger" i hele sin infrastruktur, sagde Strickler.
"Vi er utroligt kede af, at dette skete. Vi satte en meget høj bar for, hvordan vi tjener vores samfund, og denne hændelse er frustrerende og irriterende, " sagde Strickler.
Der er ingen undskyldning for, at nogen stadig bruger svage adgangskoder eller genbruger legitimationsoplysninger på flere websteder. Som Security Watch har sagt gang på gang, (uanset om vi taler om LinkedIn, Twitter, Adobe, Evernote eller Dropbox, for at nævne nogle få), er vi nødt til at bruge stærke adgangskoder, så sørg for, at adgangskoder er unikke, så et brud på et websted påvirker ikke flere konti og bruger stærkere godkendelsesmetoder, såsom at tænde for to-faktor-godkendelse eller bruge en adgangskodemanager. Når Kickstarter slutter sig til listen, gælder stadig det samme råd.
Hvad blev stjålet
For Kickstarter-brugere er der nogle gode nyheder og dårlige nyheder. Den gode nyhed er, at der ikke blev adgang til kreditkortdata. Det er mest sandsynligt, fordi Kickstarter aldrig har dine kreditkortdata til at begynde med, da alle betalingstransaktioner behandles og gemmes af Amazon Payments, ikke af Kickstarter. Mens Kickstarter lagrer de sidste fire cifre og udløbsdatoer for kreditkort, der blev brugt til at finansiere projekter uden for De Forenede Stater, blev denne information ikke overtrådt, siger virksomheden.
Den dårlige nyhed er, at angribere kom ind i databasen indeholdende brugernavne, e-mail-adresser, postadresser, telefonnumre og adgangskoder. Indtil videre ser det ud til, at to konti måske er blevet brugt på svig. Kickstarter har allerede gendannet disse konti og underrettet brugerne.
Password sikkerhed
Adgangskoderne blev krypteret, hvilket betyder, at det ville tage angribere nogen tid og en hel del computereessourcer at knække dem. Det ser ud til, at nogle af adgangskoder blev saltet og hashet ved hjælp af SHA1-algoritme, mens de andre brugte den meget stærkere bcrypt-kryptering. Uanset hvad er ingen kryptering fuldstændig fail-proff, og i betragtning af hvor let det er at spinere kraftfulde maskiner på Amazon Elastic Compute Cloud (EC2) eller andre skyplatforme, er det sikkert at antage, at din adgangskode til sidst vil blive knækket. Du skal absolut ændre din adgangskode med det samme.
Et stykke gode nyheder for Kickstarter-brugere, der bruger deres Facebook-konti til at logge ind: deres Facebook-legitimationsoplysninger forbliver sikre, da disse oplysninger gemmes på Facebook-servere. Kickstarter har tilbagekaldt alle de tokens, der tillader Facebook-login, så næste gang du prøver at logge ind, bliver du bedt om at manuelt linke konti igen.
Kickstarter anbefales at bruge en adgangskodemanager som LastPass eller 1Password. Se alle de adgangskodeadministratorer, som PCMag har gennemgået, inklusive LastPass 3.0 og Dashlane 2.0, to produkter, der modtog vores Editor's Choice-betegnelse.
Hvad er det næste?
"Vi arbejder tæt sammen med retshåndhævelse, og vi gør alt, hvad vi kan for at forhindre, at dette sker igen, " sagde Strickley. Mens det er godt, Kickstarter gør alt, hvad det kan, skal brugerne også gøre alt for at minimere skaden i tilfælde af endnu et brud.
Med alle disse overtrædelser bliver det mere og mere tydeligt, at brugere er nødt til at blive mere sikkerhedsvante. Brug ikke adgangskoder på tværs af websteder, selvom du betragter dem som mindre vigtige, eller hvis der ikke er nogen følsomme oplysninger, der kan beskyttes. Adgangskoder skal være lange (mere end otte tegn, hvis du kan administrere det) og komplekst med en blanding af tal, tegnsætningstegn og blandede bogstaver. Overvej til sidst at tænde for tofaktorautentisering, hvis webstedet tilbyder funktionen, og se efter ved hjælp af en adgangskodemanager.
"Vi har siden forbedret vores sikkerhedsprocedurer og systemer på mange måder, og vi vil fortsætte med at gøre det i de kommende uger og måneder, " sagde Strickley.
