Vídeo: CRIPTO CLASE #6: Tipos de billeteras cripto (Setembre 2024)
La fatiga per incompliment de dades s'estableix i només és febrer. Kickstarter és l'últim lloc d'alt perfil que s'ha piratejat.
Les autoritats policials van informar a Kickstarter de la violació el 12 de febrer, i Kickstarter va tancar immediatament la vulnerabilitat que permetia als atacants a través, Yancey Strickler, director general de Kickstarter, va escriure en una publicació del bloc i en un correu electrònic enviat als usuaris. La companyia "va investigar a fons la situació" durant els últims quatre dies abans de notificar els usuaris i l'equip ja ha començat a "reforçar les mesures de seguretat" a tota la seva infraestructura, va dir Strickler.
"Ens sap greu que això hagi passat. Hem establert una barra molt alta per servir a la nostra comunitat i aquest incident és frustrant i molest", va dir Strickler.
No hi ha excusa perquè ningú continuï utilitzant contrasenyes febles o reutilitzant credencials en diversos llocs. Com Security Watch ha dit una i altra vegada (ja sigui que parlem de LinkedIn, Twitter, Adobe, Evernote o Dropbox, per citar-ne alguns), hem d’utilitzar contrasenyes fortes, assegureu-vos que les contrasenyes siguin úniques de manera que es produeixi un incompliment a un lloc no afecta diversos comptes i utilitza mètodes d'autenticació més forts, com ara activar l'autenticació de dos factors o utilitzar un gestor de contrasenyes. Amb Kickstarter unint-se a la llista, segueix el mateix consell.
Què es va robar
Per als usuaris de Kickstarter, hi ha algunes bones notícies i bones. La bona notícia és que no es va accedir a dades de la targeta de crèdit. El més probable és que Kickstarter mai tingui les dades de la targeta de crèdit, ja que totes les transaccions de pagament són processades i emmagatzemades per Amazon Payments, no per Kickstarter. Si bé Kickstarter emmagatzema els últims quatre dígits i dates de caducitat de les targetes de crèdit utilitzades per finançar projectes fora dels Estats Units, aquesta informació no es va incomplir, va dir la companyia.
La mala notícia és que els atacants van entrar a la base de dades amb noms d’usuari, adreces de correu electrònic, adreces de correu, números de telèfon i contrasenyes. Fins ara, sembla que dos comptes podrien haver estat utilitzats fraudulentament. Kickstarter ja ha assegurat aquests comptes i ha notificat als usuaris.
Seguretat de contrasenya
Les contrasenyes es van xifrar, el que significa que es necessitarà un temps als atacants i una gran quantitat de recursos informàtics per esgarrar-les. Sembla que algunes de les contrasenyes eren salades i rentades mitjançant l’algorisme SHA1, mentre que les altres utilitzaven el xifrat de bcrypt molt més fort. Independentment, cap xifrat no és completament infreqüent i tenint en compte la facilitat de fer volar les màquines potents a Amazon Elastic Compute Cloud (EC2) o altres plataformes de núvol, és segur que la vostra contrasenya acabarà essent esquerpada. Hauríeu de canviar la contrasenya de manera immediata.
Una bona notícia per als usuaris de Kickstarter que utilitzen els seus comptes de Facebook per iniciar sessió: les seves credencials de Facebook romanen segures ja que aquesta informació es desa als servidors de Facebook. Kickstarter ha revocat totes les fitxes que permeten iniciar la sessió de Facebook, de manera que la propera vegada que intenteu iniciar la sessió, se us demanarà que torni a enllaçar manualment els comptes.
Kickstarter recomana utilitzar un gestor de contrasenyes com LastPass o 1Password. Consulteu tots els administradors de contrasenyes que PCMag ha revisat, inclosos LastPass 3.0 i Dashlane 2.0, dos productes que han rebut la designació de Choice Editor.
Què segueix?
"Estem treballant estretament amb l'aplicació de la llei, i estem fent tot el possible per evitar que això passi de nou", va dir Strickley. Si bé és bo Kickstarter fa tot el possible, els usuaris també haurien de fer tot el possible per minimitzar els danys en cas d’algun altre incompliment.
Amb tots aquests incompliments, cada vegada és més clar que els usuaris han de ser més experimentats en seguretat. No reutilitzeu contrasenyes a través de llocs, fins i tot si considereu que són menys importants o que no hi ha informació sensible a protegir. Les contrasenyes han de ser llargues (més de vuit caràcters si es pot gestionar) i complexes amb una combinació de números, signes de puntuació i lletres de majúscules. Finalment, considereu l’activació de l’autenticació de dos factors si el lloc ofereix la funció i busqueu l’ús d’un gestor de contrasenyes.
"Des de llavors hem millorat els nostres procediments i sistemes de seguretat de diverses maneres, i ho seguirem fent en les setmanes i mesos següents", va dir Strickley.
