Видео: Flipper Zero — Tamagochi for Hackers (Ноември 2024)
Умората от нарушаване на данните настъпва и е само февруари. Kickstarter е най-новият високопрофилен сайт, който трябва да бъде хакнат.
Органите на реда уведомяват Kickstarter за нарушението на 12 февруари и Kickstarter незабавно затвори уязвимостта, която позволява на нападателите чрез, Yancey Strickler, изпълнителен директор на Kickstarter, пише в публикация в блога и в имейл, изпратен до потребителите. Компанията "подробно проучи ситуацията" през последните четири дни, преди да уведоми потребителите и екипът вече е започнал "засилване на мерките за сигурност" в цялата си инфраструктура, каза Стриклер.
"Невероятно съжаляваме, че това се случи. Поставихме много висока планка за това как служим на нашата общност, а този инцидент е разочароващ и разстройващ", каза Стриклер.
Няма извинение някой все още да използва слаби пароли или да използва повторно идентификационни данни в множество сайтове. Тъй като Security Watch е казвал отново и отново, (независимо дали говорим за LinkedIn, Twitter, Adobe, Evernote или Dropbox, за да назовем няколко), трябва да използваме силни пароли, уверете се, че паролите са уникални, така че да се наруши един сайт не засяга множество акаунти и използва по-силни методи за удостоверяване, като например включване на двуфакторна автентификация или използване на мениджър на пароли. Когато Kickstarter се присъедини към списъка, все още важи същият съвет.
Какво беше откраднато
За потребителите на Kickstarter има някои добри и лоши новини. Добрата новина е, че няма достъп до данни за кредитни карти. Това е най-вероятно, защото Kickstarter никога не започва с вашите данни за кредитната карта, тъй като всички платежни транзакции се обработват и съхраняват от Amazon Payments, а не от Kickstarter. Въпреки че Kickstarter съхранява последните четири цифри и дати на валидност на кредитните карти, използвани за финансиране на проекти извън Съединените щати, тази информация не е нарушена, заявиха от компанията.
Лошата новина е, че нападателите влязоха в базата данни, съдържаща потребителски имена, имейл адреси, пощенски адреси, телефонни номера и пароли. Засега изглежда, че два акаунта може да са били използвани измамно. Kickstarter вече е подсигурил тези акаунти и е уведомил потребителите.
Сигурност с парола
Паролите бяха шифровани, което означава, че на атакуващите ще отнеме известно време и доста компютърни ресурси, за да ги пробият. Изглежда, че някои от паролите бяха осолени и хеширани, използвайки алгоритъма SHA1, докато другите използваха много по-силното криптиране на bcrypt. Независимо от това, нито едно криптиране не е напълно неуспешно и като се има предвид колко лесно е да се въртят мощни машини на Amazon Elastic Compute Cloud (EC2) или други облачни платформи, е безопасно да се предполага, че паролата ви в крайна сметка ще бъде спукана. Трябва абсолютно да смените паролата си веднага.
Част от добри новини за потребителите на Kickstarter, които използват акаунта си във Facebook за влизане: техните идентификационни данни във Facebook остават защитени, тъй като тази информация се съхранява на сървърите на Facebook. Kickstarter е отменил всички маркери, които позволяват влизане във Facebook, така че следващия път, когато се опитате да влезете, ще бъдете подканени да свържете ръчно отново акаунтите.
Kickstarter препоръчва използването на мениджър на пароли като LastPass или 1Password. Вижте всички мениджъри на пароли, които PCMag е прегледал, включително LastPass 3.0 и Dashlane 2.0, два продукта, които получиха нашето означение за избор на редактор.
Какво следва?
"Ние работим в тясно сътрудничество с органите на реда и правим всичко по силите си, за да предотвратим това да се повтори", каза Стрикли. Въпреки че е добре Kickstarter прави всичко възможно, потребителите също трябва да правят всичко възможно, за да сведат до минимум щетите в случай на друго нарушение.
С всички тези нарушения става все по-ясно, че потребителите трябва да станат по-здрави в сигурността. Не използвайте повторно паролите в сайтовете, дори ако ги считате за по-малко важни или смятате, че няма чувствителна информация за защита. Паролите трябва да са дълги (повече от осем знака, ако можете да ги управлявате) и сложни с комбинация от числа, препинателни знаци и смесени букви. И накрая, помислете дали да включите двуфакторна автентификация, ако сайтът предлага функцията, и разгледайте използването на мениджър на пароли.
„Оттогава ние подобряваме процедурите и системите си за сигурност по много начини и ще продължим да го правим през следващите седмици и месеци“, каза Стрикли.