Kickstarter poinformował na swoim blogu o ataku dokonanym w ostatnią środę. Hakerzy uzyskali dostęp do nazw użytkowników, adresów e-mail, numerów telefonów, adresów pocztowych i zaszyfrowanych haseł. Na szczęście nie ujawniono danych karty kredytowej.
Kickstarter odpowiedział na kilka pytań dotyczących tego incydentu:
- Jak były szyfrowane hasła? Starsze hasła były wielokrotnie solone i trawione za pomocą SHA-1. Najnowsze hasła są mieszane za pomocą bcrypt.
- Czy Kickstarter przechowuje dane karty kredytowej? Kickstarter nie przechowuje pełnych numerów kart kredytowych. W przypadku zastawów na projekty poza USA przechowujemy cztery ostatnie cyfry i daty ważności kart kredytowych. Żadna z tych danych nie była w żaden sposób dostępna.
- Jeśli Kickstarter został powiadomiony w środę wieczorem, dlaczego ludzie zostali powiadomieni w sobotę? Natychmiast zamknęliśmy naruszenie i powiadomiliśmy wszystkich, jak tylko dokładnie zbadaliśmy sytuację.
- Czy Kickstarter będzie współpracować z dwiema osobami, których konta zostały naruszone? Tak. Dotarliśmy do nich i zabezpieczyliśmy ich konta.
- Korzystam z Facebooka, aby zalogować się do Kickstarter. Czy mój login został naruszony? Nie. W ramach środków ostrożności resetujemy wszystkie dane logowania na Facebooku. Użytkownicy Facebooka mogą po prostu połączyć się ponownie, gdy przyjdą do Kickstarter.