Videó: Rejtett funkciók az androidon! (November 2024)
Az adatok megsértésének fáradtsága bekövetkezik, és csak február van. A Kickstarter a legújabb nagy horderejű oldal, amelyet feltörni lehet.
A rendészeti hatóságok február 12-én tájékoztatták a Kickstarter-t a jogsértésről, és a Kickstarter azonnal bezárta a támadók számára lehetővé tett sebezhetőséget, Yancey Strickler, a Kickstarter vezérigazgatója, blogbejegyzésben és a felhasználóknak küldött e-mailben írt. A társaság "alaposan kivizsgálta a helyzetet" az elmúlt négy napban, mielőtt értesítette a felhasználókat, és a csapat már megkezdte "a biztonsági intézkedések megerősítését" az egész infrastruktúrájában - mondta Strickler.
"Hihetetlenül sajnáljuk, hogy ez történt. Nagyon magas sávot állítottunk fel arra, hogy kiszolgáljuk közösségünket, és ez az eset frusztráló és felborító" - mondta Strickler.
Nincs mentség arra, hogy bárki továbbra is gyenge jelszavakat használjon, vagy hitelesítő adatokat használjon több webhelyen. Mivel a Security Watch újra és újra elmondta (akár csak a LinkedInről, a Twitterről, az Adobe-ról, az Evernote-ról vagy a Dropboxról beszélünk, hogy csak néhányat említsünk), erős jelszavakat kell használnunk, ellenőriznünk kell a jelszavak egyedi jellegét, hogy a egy webhely nem érinti a több fiókot, és erősebb hitelesítési módszereket használjon, például bekapcsolja a két tényezős hitelesítést vagy használja a jelszókezelőt. Amikor a Kickstarter csatlakozik a listához, ugyanaz a tanács továbbra is érvényes.
Mi ellopták
A Kickstarter felhasználók számára van néhány jó és rossz hír. A jó hír az, hogy nem érkezett hitelkártya-adat. Ez valószínűleg azért van, mert a Kickstarter soha nem kezdi meg a hitelkártya-adatait, mivel az összes fizetési műveletet az Amazon Payments kezeli és tárolja, nem pedig a Kickstarter. Míg a Kickstarter az Egyesült Államokon kívüli projektek finanszírozására használt hitelkártyák utolsó négy számjegyét és lejárati idejét tárolja, ezt az információt nem sértették meg, mondta a cég.
A rossz hír az, hogy a támadók bekerültek az adatbázisba, amely felhasználóneveket, e-mail címeket, levelezési címeket, telefonszámokat és jelszavakat tartalmaz. Eddig úgy tűnik, hogy két fiókot csalárd módon használták fel. A Kickstarter már újból védte ezeket a fiókokat, és értesítette a felhasználókat.
Jelszóbiztonság
A jelszavak titkosítva voltak, ami azt jelenti, hogy a támadóknak sok időbe telik, és elég sok számítógépes erőforrással kell megtörni őket. Úgy tűnik, hogy a jelszavak egy részét sóztuk és kivágták SHA1 algoritmussal, míg a többi a sokkal erősebb bcrypt titkosítást alkalmazta. Függetlenül attól, hogy a titkosítás nem teljesen hibátlan, és figyelembe véve, mennyire könnyű az erős gépeket az Amazon Elastic Compute Cloud (EC2) vagy más felhőplatformokon forogni, biztonságos feltételezni, hogy jelszava végül meg lesz repedve. Azonnal meg kell változtatnia a jelszavát.
Egy jó hír azoknak a Kickstarter felhasználóknak, akik Facebook-fiókjukat használják a bejelentkezéshez: a Facebook hitelesítő adataik biztonságban vannak, mivel ezeket az információkat a Facebook szerverein tárolják. A Kickstarter visszavonta az összes olyan tokent, amely lehetővé teszi a Facebook bejelentkezést, így a következő alkalommal, amikor megpróbál bejelentkezni, a rendszer kéri a fiókok manuális összekapcsolását.
A Kickstarter olyan jelszókezelőt ajánlott, mint például a LastPass vagy az 1Password. Nézze meg az összes jelszókezelőt, beleértve a LastPass 3.0-t és a Dashlane 2.0-t is, amelyeket a PCMag áttekintett, beleértve azokat a két terméket, amelyek megkaptuk a Editor's Choice jelölést.
Mi a következő?
"Szorosan együttműködünk a bűnüldöző szervekkel, és mindent megteszünk annak érdekében, hogy megakadályozzuk, hogy ez megismétlődjön" - mondta Strickley. Bár jó, hogy a Kickstarter mindent megtesz, a felhasználóknak mindent meg kell tenniük annak érdekében, hogy újabb megsértés esetén minimalizálják a károkat.
Mindezen megsértésekkel egyre világosabb, hogy a felhasználóknak biztonságosabbá kell válniuk. Ne használja újra a jelszavakat a webhelyek között, még akkor sem, ha kevésbé fontosnak tartja őket, vagy ha úgy gondolja, hogy nincs érzékeny információ, amelyet meg kellene védeni. A jelszavaknak hosszúaknak kell lenniük (több mint nyolc karakter, ha kezelni tudja), és összetettnek kell lenniük számok, írásjelek és vegyes kisbetűk keverékével. Végül fontolja meg a két tényezőjű hitelesítés bekapcsolását, ha a webhely ezt a szolgáltatást kínálja, és fontolja meg a jelszókezelő használatát.
"Azóta számos módon fejlesztettük biztonsági eljárásainkat és rendszereinket, és a következő hetekben és hónapokban folytatjuk tovább" - mondta Strickley.
