Video: Wow! 3 Awesome ideas or Life Hacks (November 2024)
Únava pri narušení dát je nastavená a je len február. Kickstarter je najnovší vysoko profilovaný web, na ktorý sa má hacknúť.
Orgány činné v trestnom konaní informovali spoločnosť Kickstarter o porušení dňa 12. februára a spoločnosť Kickstarter okamžite uzavrela zraniteľnosť, ktorú útočníkom umožnili útočníci. Yancey Strickler, generálny riaditeľ spoločnosti Kickstarter, napísal na blogový príspevok a e-mail zaslaný používateľom. Spoločnosť „dôkladne vyšetrila situáciu“ za posledné štyri dni pred oznámením používateľom a tím už začal „posilňovať bezpečnostné opatrenia“ v celej svojej infraštruktúre, povedal Strickler.
„Je nám veľmi ľúto, že sa to stalo. Stanovili sme veľmi vysoký stĺpec toho, ako slúžime našej komunite, a tento incident je frustrujúci a znepokojujúci, “ povedal Strickler.
Neexistuje ospravedlnenie pre kohokoľvek, kto stále používa slabé heslá alebo opakované použitie poverení na viacerých weboch. Ako Bezpečnostné hliadky opakovane uviedli (či už hovoríme napríklad o LinkedIn, Twitter, Adobe, Evernote alebo Dropbox), musíme použiť silné heslá, uistite sa, že heslá sú jedinečné, aby došlo k porušeniu na jedna stránka nemá vplyv na viac účtov a používa silnejšie metódy overovania, napríklad zapnutie dvojfaktorovej autentifikácie alebo použitie správcu hesiel. Keď sa Kickstarter pripojí k zoznamu, stále platí rovnaká rada.
Čo bolo ukradnuté
Pre používateľov Kickstarteru sú dobré a zlé správy. Dobrou správou je, že k údajom o kreditnej karte nebol prístup. Je to s najväčšou pravdepodobnosťou preto, že spoločnosť Kickstarter nikdy nemá na začiatku údaje o svojej kreditnej karte, pretože všetky platobné transakcie spracúva a ukladá spoločnosť Amazon Payments, nie spoločnosť Kickstarter. Kickstarter síce ukladá posledné štyri číslice a dátumy vypršania platnosti kreditných kariet používaných na financovanie projektov mimo USA, táto informácia však nebola porušená.
Zlou správou je, že útočníci sa dostali do databázy obsahujúcej používateľské mená, e-mailové adresy, poštové adresy, telefónne čísla a heslá. Zatiaľ sa zdá, že dva účty mohli byť použité podvodne. Kickstarter už tieto účty zaistil a upovedomil používateľov.
Zabezpečenie heslom
Heslá boli zašifrované, čo znamená, že útočníkom by trvať nejaký čas a trochu ich výpočtových prostriedkov ich rozlúštilo. Zdá sa, že niektoré z hesiel boli solené a hashované pomocou algoritmu SHA1, zatiaľ čo iné používali oveľa silnejšie šifrovanie bcrypt. Bez ohľadu na to, že žiadne šifrovanie nie je úplne bezchybné a vzhľadom na to, aké ľahké je roztočiť výkonné počítače na serveri Amazon Elastic Compute Cloud (EC2) alebo na iných cloudových platformách, je bezpečné predpokladať, že vaše heslo bude nakoniec prelomené. Okamžite by ste si mali okamžite zmeniť svoje heslo.
Pre používateľov Kickstarter, ktorí používajú svoje účty Facebook na prihlásenie, je dobrá správa: ich poverenia na Facebooku zostávajú bezpečné, pretože tieto informácie sú uložené na serveroch Facebook. Kickstarter zrušil všetky tokeny, ktoré umožňujú prihlásenie na Facebook, takže keď sa pokúsite prihlásiť, budete vyzvaný, aby ste účty znova manuálne prepojili.
Kickstarter odporúča používať správcu hesiel, napríklad LastPass alebo 1Password. Vyskúšajte všetkých správcov hesiel, ktoré spoločnosť PCMag preskúmala, vrátane produktov LastPass 3.0 a Dashlane 2.0, dvoch produktov, ktoré získali označenie nášho editora Výber.
Čo ďalej?
"Úzko spolupracujeme s orgánmi činnými v trestnom konaní a robíme všetko, čo je v našich silách, aby sme tomu zabránili, " uviedol Strickley. Aj keď je dobré, že spoločnosť Kickstarter robí všetko, čo je v jej silách, používatelia by tiež mali robiť všetko pre to, aby sa minimalizovalo poškodenie v prípade iného porušenia.
Pri všetkých týchto porušeniach je stále jasnejšie, že používatelia musia byť dôvtipnejší. Nepoužívajte heslá na viacerých stránkach, aj keď ich považujete za menej dôležité alebo ak nemáte k dispozícii citlivé informácie na ochranu. Heslá musia byť dlhé (viac ako osem znakov, ak ich dokážete spravovať) a zložité so kombináciou čísiel, interpunkčných znamienok a písmen veľkých písmen. Ak stránka ponúka túto funkciu, zvážte zapnutie dvojfaktorovej autentifikácie a preskúmajte použitie správcu hesiel.
„Od tej doby sme zlepšili naše bezpečnostné postupy a systémy mnohými spôsobmi a budeme to robiť aj v nasledujúcich týždňoch a mesiacoch, “ povedal Strickley.