Video: WE'RE BACK ONLINE!!! (And How My Account Got Hacked) (Decembris 2024)
Datu pārkāpumu nogurums ir iestājies, un ir tikai februāris. Kickstarter ir jaunākā augsta profila vietne, kurā tiek uzlauzts.
Tiesībaizsardzības iestādes informēja Kickstarter par pārkāpumu 12. februārī, un Kickstarter nekavējoties slēdza ievainojamību, kas ļāva uzbrucējiem, izmantojot Kickstarter izpilddirektoru Yancey Strickler, rakstīja emuāra ziņojumā un lietotājiem nosūtītā e-pastā. Uzņēmums "rūpīgi izpētīja situāciju" pēdējo četru dienu laikā pirms lietotāju informēšanas, un komanda jau ir sākusi "drošības pasākumu stiprināšanu" visā tās infrastruktūrā, sacīja Štrikslers.
"Mēs esam neticami nožēlojami, ka tas notika. Mēs uzstādījām ļoti augstu latiņu tam, kā mēs kalpojam savai kopienai, un šis incidents ir satraucošs un satraucošs, " sacīja Štrīlers.
Neviens neattaisno to, ka joprojām izmanto vājas paroles vai atkārtoti izmanto akreditācijas datus vairākās vietnēs. Tā kā Security Watch atkal un atkal ir teicis (neatkarīgi no tā, vai mēs runājam par LinkedIn, Twitter, Adobe, Evernote vai Dropbox, lai nosauktu dažus), mums ir jāizmanto spēcīgas paroles, jāpārliecinās, ka paroles ir unikālas, lai viena vietne neietekmē vairākus kontus, un izmantojiet spēcīgākas autentifikācijas metodes, piemēram, ieslēdziet divu faktoru autentifikāciju vai izmantojiet paroļu pārvaldnieku. Kad Kickstarter pievienojas sarakstam, tas pats padoms joprojām ir spēkā.
Kas tika nozagts
Kickstarter lietotājiem ir dažas labas un sliktas ziņas. Labā ziņa ir tā, ka netika piekļūt kredītkartes datiem. Tas, visticamāk, ir tāpēc, ka Kickstarter nekad nav jāsāk ar jūsu kredītkartes datiem, jo visus maksājumu darījumus apstrādā un glabā Amazon Payments, nevis Kickstarter. Kamēr Kickstarter glabā kredītkaršu pēdējos četrus ciparus un derīguma termiņus, ko izmanto projektu finansēšanai ārpus Amerikas Savienotajām Valstīm, šī informācija netika pārkāpta, sacīja uzņēmums.
Sliktā ziņa ir tā, ka uzbrucēji ir iekļuvuši datu bāzē, kurā ir lietotājvārdi, e-pasta adreses, pasta adreses, tālruņu numuri un paroles. Līdz šim šķiet, ka divi konti ir izmantoti krāpnieciski. Kickstarter jau ir atkārtoti nodrošinājis šos kontus un paziņojis lietotājiem.
Paroļu drošība
Paroles tika šifrētas, kas nozīmē, ka uzbrucējiem būs nepieciešams zināms laiks un diezgan daudz skaitļošanas resursu, lai tos uzlauzt. Šķiet, ka dažas paroles tika sālītas un sajauktas, izmantojot SHA1 algoritmu, bet citi izmantoja daudz spēcīgāku bcrypt šifrēšanu. Neatkarīgi no tā, neviena šifrēšana nav pilnībā neveiksmīga, un, ņemot vērā to, cik viegli ir izveidot jaudīgas mašīnas Amazon Elastic Compute Cloud (EC2) vai citās mākoņa platformās, ir droši uzskatīt, ka jūsu parole beidzot tiks uzlauzta. Jums nekavējoties jāmaina parole.
Laba ziņa Kickstarter lietotājiem, kuri izmanto savus Facebook kontus, lai pieteiktos: viņu Facebook akreditācijas dati paliek droši, jo šī informācija tiek glabāta Facebook serveros. Kickstarter ir atsaucis visus marķierus, kas atļauj Facebook pieteikšanos, tāpēc nākamreiz, kad mēģināt pieteikties, jums tiks piedāvāts vēlreiz manuāli saistīt kontus.
Kickstarter ieteica izmantot paroļu pārvaldnieku, piemēram, LastPass vai 1Password. Pārbaudiet visus paroļu pārvaldniekus, ko PCMag ir pārskatījis, ieskaitot LastPass 3.0 un Dashlane 2.0 - divus produktus, kas saņēmuši mūsu apzīmējumu Editor's Choice.
Kas tālāk?
"Mēs cieši sadarbojamies ar tiesībaizsardzību, un mēs darām visu, kas mūsu spēkos, lai tas neatkārtotos, " sacīja Štrikslijs. Lai arī tas ir labi, Kickstarter dara visu iespējamo, lietotājiem arī jādara viss iespējamais, lai samazinātu zaudējumus cita pārkāpuma gadījumā.
Ar visiem šiem pārkāpumiem kļūst arvien skaidrāks, ka lietotājiem jākļūst drošākiem par drošību. Neizmantojiet paroles atkārtoti vietnēs, pat ja uzskatāt tās par mazāk svarīgām vai ja skaitlis nav slepena, aizsargājama informācija. Parolēm jābūt garām (vairāk nekā astoņas rakstzīmes, ja varat to pārvaldīt) un sarežģītām, izmantojot ciparus, pieturzīmes un jauktos burtus. Visbeidzot, apsveriet iespēju ieslēgt divu faktoru autentifikāciju, ja vietne piedāvā šo funkciju, un apsveriet paroļu pārvaldnieka izmantošanu.
"Kopš tā laika mēs daudzos veidos esam uzlabojuši savas drošības procedūras un sistēmas, un mēs to turpināsim darīt nākamajās nedēļās un mēnešos, " sacīja Štrikslijs.
