Video: COMPUTER BOY PASSWORD MYSTERY ( POPPY INTERNET SITESI /_\ ) (Lokakuu 2024)
Tietojen rikkomusväsymys on tulossa ja vasta helmikuussa. Kickstarter on viimeisin hakkeroitu korkean profiilin sivusto.
Lainvalvontaviranomaiset ilmoittivat Kickstarterille rikkomuksesta 12. helmikuuta, ja Kickstarter sulki heti sen haavoittuvuuden, jonka avulla hyökkääjät pääsivät läpi. Kickstarterin toimitusjohtaja Yancey Strickler kirjoitti blogin ja käyttäjille lähetetyn sähköpostiviestin. Yhtiö "tutki tilanteen perusteellisesti" viimeisen neljän päivän aikana ennen käyttäjille ilmoittamista, ja ryhmä on jo aloittanut "turvatoimien vahvistamisen" koko infrastruktuurissaan, Strickler sanoi.
"Olemme erittäin pahoillamme siitä, että näin tapahtui. Asetamme erittäin korkean palkin palvella yhteisöämme. Tämä tapaus on turhauttavaa ja järkyttävää", Strickler sanoi.
Kenellekään ei ole tekosyy, että se käyttää edelleen heikkoja salasanoja tai käyttää käyttäjätietoja uudelleen useilla sivustoilla. Kuten Security Watch on sanonut kerta toisensa jälkeen (puhutaanpa sitten LinkedInistä, Twitteristä, Adobesta, Evernoteista tai Dropboxista, muutamia mainitakseni), meidän on käytettävä vahvoja salasanoja, varmista, että salasanat ovat ainutlaatuisia, jotta rikkomus yksi sivusto ei vaikuta useisiin tileihin, ja käytä vahvempia todennusmenetelmiä, kuten kaksitekijän todennuksen ottaminen käyttöön tai salasananhallinnan käyttäminen. Kun Kickstarter liittyi luetteloon, sama neuvo pätee edelleen.
Mikä oli varastettu
Kickstarter-käyttäjille on hyviä ja huonoja uutisia. Hyvä uutinen on, että luottokorttitietoihin ei päästy. Se johtuu todennäköisimmin siitä, että Kickstarterilla ei ole koskaan luottokorttitietojasi, koska kaikki maksutapahtumat käsittelee ja tallentaa Amazon Payments, ei Kickstarter. Vaikka Kickstarter tallentaa Yhdysvaltojen ulkopuolella hankkeiden rahoittamiseen käytettyjen luottokorttien neljä viimeistä numeroa ja viimeistä voimassaolopäivää, näitä tietoja ei rikottu, yritys kertoi.
Huono uutinen on, että hyökkääjät pääsivät tietokantaan, joka sisältää käyttäjätunnuksia, sähköpostiosoitteita, postiosoitteita, puhelinnumeroita ja salasanoja. Toistaiseksi näyttää siltä, että kahta tiliä on käytetty vilpillisesti. Kickstarter on jo suojannut nämä tilit ja ilmoittanut käyttäjille.
Salasanasuojaus
Salasanat salattiin, mikä tarkoittaa, että hyökkääjät vievät jonkin aikaa ja melko vähän tietotekniikkaresursseja niiden murtaamiseen. Vaikuttaa siltä, että osa salasanoista oli suolattu ja hajautettu SHA1-algoritmilla, kun taas toiset käyttivät paljon vahvempaa bcrypt-salausta. Riippumatta siitä, mikään salaus ei ole täysin epäonnistunut, ja ottaen huomioon, kuinka helppoa on kehittää tehokkaita koneita Amazon Elastic Compute Cloud (EC2): lla tai muilla pilvialustoilla, on turvallista olettaa, että salasanasi lopulta murtuu. Sinun on ehdottomasti vaihdettava salasanasi heti.
Pala hyviä uutisia Kickstarter-käyttäjille, jotka käyttävät Facebook-tiliään kirjautumiseen: heidän Facebook-käyttöoikeudet pysyvät turvassa, koska nämä tiedot on tallennettu Facebook-palvelimille. Kickstarter on peruuttanut kaikki tunnukset, jotka sallivat Facebook-kirjautumisen, joten seuraavan kerran, kun yrität kirjautua sisään, sinua pyydetään linkittämään tilit uudelleen manuaalisesti.
Kickstarter suositteli salasananhallintaa, kuten LastPass tai 1Password. Tutustu kaikkiin salasanan hallintaohjelmiin, joita PCMag on tarkistanut, mukaan lukien LastPass 3.0 ja Dashlane 2.0, kaksi tuotetta, jotka saivat Editor's Choice -nimityksen.
Mitä seuraavaksi?
"Teemme tiivistä yhteistyötä lainvalvonnan kanssa ja teemme kaikkemme estääksemme tämän toistumisen", Strickley sanoi. Vaikka on hyvä, että Kickstarter tekee kaiken voitavansa, käyttäjien tulisi myös tehdä kaikkensa vahingon minimoimiseksi toisen rikkomuksen yhteydessä.
Kaikkien näiden rikkomusten vuoksi on yhä selvempää, että käyttäjien on muututtava tietoturvallisemmiksi. Älä käytä salasanoja uudelleen sivustojen välillä, vaikka pidät niitä vähemmän tärkeinä tai jos sinulla ei ole arkaluontoisia tietoja suojattavaksi. Salasanojen on oltava pitkiä (yli kahdeksan merkkiä, jos pystyt hallitsemaan niitä) ja monimutkaisia numeroiden, välimerkkien ja kirjainkokojen yhdistelmällä. Lopuksi harkitse kaksifaktorisen todennuksen ottamista käyttöön, jos sivusto tarjoaa ominaisuuden, ja harkitse salasanahallinnan käyttöä.
"Olemme sittemmin parantaneet turvallisuusmenettelyjämme ja järjestelmiämme monilla tavoilla, ja jatkamme niin tekemistä tulevina viikkoina ja kuukausina", Strickley sanoi.
