Ο Kickstarter ενημέρωσε στο blog του για μια επίθεση που έγινε την περασμένη Τετάρτη. Οι χάκερ έχουν πρόσβαση σε ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, διευθύνσεις αλληλογραφίας και κρυπτογραφημένους κωδικούς πρόσβασης. Ευτυχώς δεν διαρρεύσαν στοιχεία πιστωτικής κάρτας.
Ο Kickstarter απάντησε σε μερικές ερωτήσεις σχετικά με αυτό το συμβάν:
- Πώς κωδικοποιήθηκαν οι κωδικοί πρόσβασης; Οι παλαιότεροι κωδικοί πρόσβασης ήταν μοναδικά αλατισμένοι και αφομοιώθηκαν με SHA-1 πολλές φορές. Οι πιο πρόσφατοι κωδικοί πρόσβασης έχουν εξαφανιστεί με bcrypt.
- Η Kickstarter αποθηκεύει δεδομένα πιστωτικής κάρτας; Ο Kickstarter δεν αποθηκεύει πλήρεις αριθμούς πιστωτικών καρτών. Για τις υποσχέσεις για σχέδια εκτός των ΗΠΑ, αποθηκεύουμε τα τελευταία τέσσερα ψηφία και τις ημερομηνίες λήξης για τις πιστωτικές κάρτες. Κανένα από αυτά τα δεδομένα δεν ήταν σε καμία περίπτωση προσβάσιμο.
- Αν ο Kickstarter ειδοποιήθηκε το βράδυ της Τετάρτης, γιατί ενημερώθηκαν οι άνθρωποι το Σάββατο; Κλείσαμε αμέσως την παραβίαση και ενημερώσαμε όλους όσους είχαμε διερευνήσει διεξοδικά την κατάσταση.
- Θα συνεργαστεί ο Kickstarter με τα δύο άτομα των οποίων οι λογαριασμοί είχαν παραβιαστεί; Ναί. Έχουμε φτάσει σε αυτούς και έχουν εξασφαλίσει τους λογαριασμούς τους.
- Χρησιμοποιώ το Facebook για να συνδεθώ στο Kickstarter. Η σύνδεση μου είναι συμβιβασμένη; Όχι. Προληπτικά, επαναφέρουμε όλα τα διαπιστευτήρια σύνδεσης στο Facebook. Οι χρήστες του Facebook μπορούν απλά να επανασυνδεθούν όταν έρθουν στο Kickstarter.