וִידֵאוֹ: 3 Things Before You Launch a Kickstarter (אוֹקְטוֹבֶּר 2024)
עייפות של הפרות נתונים נכנסת והיא רק בפברואר. Kickstarter הוא האתר בעל הפרופיל הגבוה ביותר שנפרץ.
רשויות אכיפת החוק הודיעו לקיקסטארטר על ההפרה ב- 12 בפברואר, וקיקסטארטר סגרה מייד את הפגיעות שאפשרה לתוקפים לעבור, כתב ינסי סטריקלר, מנכ"ל קיקסטארטר בפוסט בבלוג ובדוא"ל שנשלח למשתמשים. החברה "חקרה את המצב ביסודיות" בארבעת הימים האחרונים לפני שהודיעה למשתמשים, והצוות כבר החל "לחזק את אמצעי האבטחה" בכל התשתיות שלה, אמר סטריקלר.
"אנו מצטערים מאוד שזה קרה. קבענו רף גבוה מאוד לאופן בו אנו משרתים את הקהילה שלנו, והתקרית הזו מתסכלת ומרגיזה", אמר סטריקלר.
אין שום תירוץ שמישהו עדיין משתמש בסיסמאות חלשות או שימוש חוזר בתעודות באתרים מרובים. כפי שאבטחה Watch Watch פעם אחר פעם, (בין אם אנחנו מדברים על לינקדאין, טוויטר, אדובי, אבנרוטה או דרופבוקס, אם נזכיר כמה וכמה), עלינו להשתמש בסיסמאות חזקות, לוודא שסיסמאות הן ייחודיות כך שתפרוץ אתר אחד אינו משפיע על חשבונות מרובים ומשתמש בשיטות אימות חזקות יותר כמו הפעלת אימות דו-גורמי או שימוש במנהל סיסמאות. עם הצטרפותה של קיקסטארטר לרשימה, אותה עצה עדיין חלה.
מה נגנב
עבור משתמשי קיקסטארטר יש חדשות טובות וחדשות רעות. החדשות הטובות הן שלא ניתן היה לגשת לנתוני כרטיסי אשראי. זה ככל הנראה מכיוון של- Kickstarter מעולם לא היו נתוני כרטיסי האשראי שלך מלכתחילה, מכיוון שכל עסקאות התשלום מעובדות ומאוחסנות על ידי Amazon Payments, ולא על ידי Kickstarter. בעוד שקיקסטארטר אכן מאחסנת את ארבע הספרות האחרונות ואת תאריכי התפוגה של כרטיסי אשראי ששימשו למימון פרויקטים מחוץ לארצות הברית, מידע זה לא הופר, כך נמסר מהחברה.
החדשות הרעות הן שהתוקפים אכן נכנסו למאגר המכיל שמות משתמש, כתובות דוא"ל, כתובות דואר, מספרי טלפון וסיסמאות. עד כה נראה כי ניתן להשתמש בשני חשבונות במרמה. Kickstarter כבר איבטחה מחדש את אותם חשבונות והודיעה למשתמשים.
אבטחת סיסמאות
הסיסמאות הוצפנו, מה שאומר שזה ייקח לתוקפים זמן מה ולא מעט משאבי מחשוב כדי לפצח אותם. נראה כי חלק מהסיסמאות הומלחו ונרתעו בעזרת אלגוריתם SHA1, בעוד שהאחרות השתמשו בהצפנת bcrypt הרבה יותר חזקה. בלי קשר, אף הצפנה אינה לגמרי כושלת ובהתחשב כמה קל לסובב מכונות עוצמתיות באמזון Elastic Compute Cloud (EC2) או בפלטפורמות ענן אחרות, בטוח להניח שהסיסמה שלך תיסדק בסופו של דבר. עליך לשנות לחלוטין את הסיסמה שלך מייד.
חדשות טובות עבור משתמשי קיקסטארטר המשתמשים בחשבונות הפייסבוק שלהם כדי להתחבר: אישורי הפייסבוק שלהם נשארים מאובטחים מכיוון שמידע זה מאוחסן בשרתי פייסבוק. Kickstarter ביטלה את כל האסימונים המאפשרים כניסה לפייסבוק, כך שבפעם הבאה שתנסו להתחבר, תתבקשו לקשר ידנית את החשבונות שוב.
Kickstarter המליץ להשתמש במנהל סיסמאות כגון LastPass או 1Password. בדוק את כל מנהלי הסיסמאות ש PCMag סקר, כולל LastPass 3.0 ו- Dashlane 2.0, שני מוצרים שקיבלו את ייעודו של Choice Editor.
מה הלאה?
סטריקלי אמר כי "אנו עובדים בשיתוף פעולה הדוק עם אכיפת החוק ואנחנו עושים כל שביכולנו בכדי למנוע זאת. אמנם טוב Kickstarter עושה כל מה שהיא יכולה, המשתמשים צריכים גם לעשות הכל כדי למזער את הנזק במקרה של הפרה נוספת.
עם כל הפרצות הללו, יותר ויותר ברור שהמשתמשים צריכים להתמצא יותר בביטחון. אל תשתמש שוב בסיסמאות באתרים, גם אם אתה מחשיב אותם פחות חשובים או שאתה חושב שאין מידע רגיש להגן עליו. סיסמאות צריכות להיות ארוכות (יותר משמונה תווים אם אתה יכול לנהל את זה) ומורכבות עם תערובת של מספרים, סימני פיסוק ואותיות אותיות מעורבות. לבסוף, שקול להפעיל אימות דו-גורמי אם האתר מציע את הפיצ'ר, ובדוק באמצעות מנהל סיסמאות.
שטריקלי אמר כי "שיפרנו מאז את נהלי האבטחה ומערכותינו במספר רב של דרכים, ונמשיך לעשות זאת בשבועות ובחודשים הבאים.
