Kickstarter повідомив у своєму блозі про атаку, яка була зроблена в минулу середу. Хакери зверталися до імен користувачів, адрес електронної пошти, номерів телефонів, адрес електронної пошти та зашифрованих паролів. На щастя, ніякі дані кредитної картки не просочилися.
Kickstarter відповів на кілька запитань щодо цього інциденту:
- Як шифрувалися паролі? Старі паролі були однозначно підсолені та переварені за допомогою SHA-1 кілька разів. Більш нові паролі хешируются з bcrypt.
- Чи зберігає Kickstarter дані кредитної картки? Kickstarter не зберігає повні номери кредитних карток. Для запозичень проектів за межами США ми зберігаємо останні чотири цифри та терміни дії кредитних карт. Жоден з цих даних жодним чином не доступний.
- Якщо Kickstarter був повідомлений у середу вночі, чому були повідомлені люди в суботу? Ми негайно закрили порушення і повідомили всіх, як тільки ми ретельно вивчили ситуацію.
- Чи буде Kickstarter працювати з двома людьми, чиї рахунки були скомпрометовані? Так. Ми звернулися до них і забезпечили їхні рахунки.
- Я використовую Facebook для входу в Kickstarter. Чи скомпрометовано мій логін? У якості запобіжного заходу ми скидаємо всі облікові дані для входу до Facebook. Користувачі Facebook можуть просто знову підключитися, коли вони прийдуть до Kickstarter.