אתר הקהל העממי הפופולרי קיקסטארטר הזמין את הלקוחות בשבת על הפרת אבטחה של שרתי האתר. אמנם אין שום אינדיקציה לכך שההאקרים השיגו מידע על כרטיסי אשראי, אך האתר חשף כי נתוני משתמש מסוימים אכן נגנבו, כולל שמות משתמש, כתובות דוא"ל, כתובות דואר פיזיות, מספרי טלפון וסיסמאות מוצפנות.
ביום רביעי בערב פנו גורמי אכיפת החוק לקיקסטארטר והריעו לנו כי האקרים חיפשו וקיבלו גישה בלתי מורשית לחלק מנתוני הלקוחות שלנו. לאחר שנודע לנו, מיד סגרנו את פרצת האבטחה והתחלנו לחזק את אמצעי האבטחה בכל מערכת Kickstarter.
אף על פי שהסיסמאות שהושגו על ידי ההאקרים הוצפנו, עדיין ייתכן שניתן היה לפענח את הרשימה ולגשת אליהן על ידי האקרים עם מספיק זמן וכוח מחשוב. סיסמאות קצרות ופשוטות חשופות במיוחד לתקיפות "כוח ברוט" אלה. לכן Kickstarter ממליצה למשתמשים לשנות באופן מיידי את הסיסמאות שלהם באתר, כמו גם בכל אתר אחר בו משתמשים באותה סיסמה.
בנוסף לדואר האלקטרוני שלה ללקוחות, קיקסטארטר פרסם פוסט בבלוג ובו פירוט ההפרה ומספק שאלות ותשובות קצרות, המצוטטות להלן:
כיצד הוצפנו סיסמאות?
סיסמאות ישנות הומלחו באופן ייחודי ועוכלו עם SHA-1 מספר פעמים. סיסמאות עדכניות יותר מנוסחות באמצעות bcrypt.
האם קיקסטארטר מאחסנת נתוני כרטיסי אשראי?
Kickstarter לא אוגרת מספרי כרטיסי אשראי מלאים. בהתחייבויות לפרויקטים מחוץ לארה"ב, אנו מאחסנים את ארבע הספרות האחרונות ואת תאריכי התפוגה של כרטיסי אשראי. אף אחד מהנתונים האלה לא ניגש בשום דרך.
אם קיבלה הודעה על Kickstarter ביום רביעי בערב, מדוע קיבלו הודעה על כך בשבת?
מיד סגרנו את ההפרה והודענו לכולם ברגע שבדקנו היטב את המצב.
האם קיקסטארטר יעבוד עם שני האנשים שחשבונותיהם נפגעו?
כן. הושטנו אליהם ואבטחנו את חשבונותיהם.
אני משתמש בפייסבוק כדי להתחבר לקיקסטארטר. האם הכניסה שלי נפגעת?
לא. כאמצעי זהירות אנו מאפסים את כל פרטי הכניסה לפייסבוק. משתמשי פייסבוק יכולים פשוט להתחבר מחדש כשהם מגיעים לקיקסטארטר.
לקוחות שדאגות שלא עוסקות בפוסט הבלוג יוכלו ליצור קשר עם Kickstarter בכתובת.
