Kickstarter ha informato nel suo blog di un attacco che è stato effettuato lo scorso mercoledì. Gli hacker hanno avuto accesso a nomi utente, indirizzi email, numeri di telefono, indirizzi postali e password crittografate. Fortunatamente non sono stati trapelati i dettagli della carta di credito.
Kickstarter ha risposto ad alcune domande su questo incidente:
- Come sono state crittografate le password? Le password precedenti venivano singolarmente salate e digerite con SHA-1 più volte. Le password più recenti sono hash con bcrypt.
- Kickstarter memorizza i dati della carta di credito? Kickstarter non memorizza i numeri di carta di credito completi. Per gli impegni a progetti al di fuori degli Stati Uniti, memorizziamo le ultime quattro cifre e le date di scadenza per le carte di credito. Nessuno di questi dati è stato in alcun modo accessibile.
- Se Kickstarter è stato avvisato mercoledì sera, perché le persone sono state avvisate sabato? Abbiamo immediatamente chiuso la violazione e avvisato tutti non appena avremmo esaminato a fondo la situazione.
- Kickstarter lavorerà con le due persone i cui account sono stati compromessi? Sì. Li abbiamo contattati e abbiamo protetto i loro account.
- Io uso Facebook per accedere a Kickstarter. Il mio accesso è stato compromesso? No. Per precauzione, ripristiniamo tutte le credenziali di accesso di Facebook. Gli utenti di Facebook possono semplicemente riconnettersi quando vengono a Kickstarter.