Краудфандинговый сайт Kickstarter честно признался, что его взломали. Факт проникновения во внутреннюю сеть заметили не штатные сотрудники компании, а правоохранительные органы: «В среду вечером представители правоохранительных органов сообщили, что хакеры получили неавторизованный доступ к некоторым данным наших пользователей, — говорится в официальном блоге. — После этого известия мы немедленно закрыли уязвимость в безопасности и приступили к усилению мер защиты во всей системе».
Компания подчеркивает, что платежные реквизиты пользователей не скомпрометированы. «Нет свидетельств неавторизованного доступа ни к каким, кроме двух аккаунтов Kickstarter».
Тем не менее, определенную информацию хакерам все-таки удалось получить. Это имена пользователей, адреса электронной почты, домашние адреса, телефонные номера и зашифрованные пароли. Старые пароли были многократно захэшированы функцией SHA-1 с уникальной солью. На новых паролях применялась хэш-функция bcrypt.
Тем не менее, в течение нескольких дней часть паролей может быть расшифрована, поэтому всем пользователям рекомендуется сменить пароли на Kickstarter и других сайтах, где использовались такие же сочетания символов. Особенно этот совет применим к тем, кто использовал слабые и короткие пароли.
Для генерации паролей Kickstarter рекомендует использовать программы 1Password и LastPass.
Компания приносит глубочайшие извинения за неудобства и объясняет, что по объективным причинам не могла уведомить общественность о взломе немедленно после инцидента: требовалось несколько дней, чтобы закрыть уязвимость и обсудить дальнейшие действия в руководстве компании.
По данным Kickstarter, с 2009 года более 5,6 млн человек осуществили финансовые транзакции через эту платформу краудфандинга.
