安全观察 Kickstarter被黑客入侵:信用卡安全,密码被盗

Kickstarter被黑客入侵:信用卡安全,密码被盗

视频: 不要嘲笑我們的性 (十二月 2024)

视频: 不要嘲笑我們的性 (十二月 2024)
Anonim

数据泄露疲劳即将来临,只有2月。 Kickstarter是最新的备受瞩目的网站。

执法机构在2月12日通知了Kickstarter该漏洞,Kickstarter的首席执行官Yancey Strickler在博客文章和发送给用户的电子邮件中写道,Kickstarter立即关闭了允许攻击者通过的漏洞。 斯特里克勒说,该公司在通知用户之前的过去四天中“彻底调查了情况”,并且该团队已经开始在其整个基础架构中“加强安全措施”。

斯特里克勒说:“我们对此事感到非常遗憾。我们为我们为社区服务的方式设定了很高的标准,这一事件令人沮丧和沮丧。”

任何人都没有理由仍然在多个站点上使用弱密码或重复使用凭据。 正如 Security Watch 一次又一次地说(无论是谈论LinkedIn,Twitter,Adobe,Evernote还是Dropbox,仅举几例),我们需要使用强密码,并确保密码是唯一的,以免出现违规行为。一个站点不会影响多个帐户,而是使用更强大的身份验证方法,例如启用两因素身份验证或使用密码管理器。 随着Kickstarter加入名单,同样的建议仍然适用。

被偷了什么

对于Kickstarter用户,有一些好消息和坏消息。 好消息是,没有访问任何信用卡数据。 这很可能是因为Kickstarter从来没有您的信用卡数据开始,因为所有付款交易都是由Amazon Payments(而不是Kickstarter)处理和存储的。 该公司表示,尽管Kickstarter确实存储了用于资助美国境外项目的信用卡的最后四位数字和有效期,但并未违反此信息。

坏消息是,攻击者确实进入了包含用户名,电子邮件地址,邮寄地址,电话号码和密码的数据库。 到目前为止,看来有两个帐户可能已被欺诈使用。 Kickstarter已经重新保护了这些帐户的安全并通知了用户。

密码安全

密码是加密的,这意味着攻击者需要一些时间和大量的计算资源才能破解它们。 看起来有些密码是使用SHA1算法加密和散列的,而其他密码则使用更强大的bcrypt加密。 无论如何,没有一种加密方法可以完全失败,并且考虑到在Amazon Elastic Compute Cloud(EC2)或其他云平台上启动功能强大的计算机有多么容易,可以肯定地认为您的密码最终将被破解。 您绝对应该立即更改密码。

对于使用Facebook帐户登录的Kickstarter用户而言,这是个好消息:他们的Facebook凭据保持安全,因为该信息存储在Facebook服务器上。 Kickstarter已撤消了所有允许Facebook登录的令牌,因此,下次尝试登录时,系统会提示您再次手动链接帐户。

Kickstarter建议使用密码管理器,例如LastPass或1Password。 查看PCMag审查过的所有密码管理器,包括LastPass 3.0和Dashlane 2.0,这两个产品均获得了“编辑选择”称号。

接下来是什么?

斯特里克利说:“我们正在与执法部门密切合作,我们正在尽一切力量防止这种情况再次发生。” 尽管Kickstarter会尽其所能,但用户也应尽一切可能,以在发生其他违规时将损失降至最低。

由于存在所有这些漏洞,因此越来越明显的是,用户需要变得更加精通安全性。 即使您认为密码不太重要或认为没有敏感信息要保护,也不要在各个站点之间重复使用密码。 密码必须很长(如果可以管理,则必须超过8个字符),并且密码复杂,需要混合使用数字,标点符号和大小写混合的字母。 最后,如果站点提供了此功能,请考虑启用两因素身份验证,然后考虑使用密码管理器。

斯特里克利说:“自那时以来,我们已经以多种方式改进了我们的安全程序和系统,我们将在未来数周和数月内继续这样做。”

Kickstarter被黑客入侵:信用卡安全,密码被盗