Nieuws

Criminelen stelen klantgegevens Kickstarter

zondag 16 februari 2014, 08:58 door Redactie, 2 reacties

Criminelen hebben onlangs toegang tot de database van de crowdfundingwebsite Kickstarter gekregen en daar allerlei gegevens van klanten gestolen, zo laat de website in een verklaring weten. Het gaat om gebruikersnamen, e-mailadressen, postadressen, telefoonnummers en gehashte wachtwoorden.

Er zouden geen creditcardgegevens zijn buitgemaakt en van slechts twee accounts zijn de gegevens misbruikt, aldus de verklaring. Kickstarter is een website waar gebruikers via crowdfunding geld voor allerlei projecten kunnen inzamelen. De website zelf heeft de aanval niet opgemerkt, maar werd door de politie gewaarschuwd. Na de melding werd het gat waardoor de aanvallers binnenkwamen gedicht, maar Kickstarter geeft geen details wat er precies is gebeurd.

Wachtwoord wijzigen

Kickstarter waarschuwt verder dat een kwaadwillend iemand met voldoende rekenkracht de gehashte wachtwoorden kan kraken, zeker als er een zwak wachtwoord door de gebruiker is gekozen. Oudere wachtwoorden van klanten waren met het SHA-1-algoritme gehasht en van een unieke salt voorzien. Meer recente wachtwoorden zijn met bcrypt gehasht.

Een hash is een gecodeerde versie van het wachtwoord die in de database wordt opgeslagen. Dit voorkomt dat het wachtwoord van gebruikers in platte tekst in een database wordt bewaard. Als de website dan wordt gehackt, zou dit betekenen dat de aanvallers meteen alle wachtwoorden van de gebruikers hebben. Een hash moet dit voorkomen.

Door de toegenomen rekenkracht van computers en videokaarten en leeftijd van bepaalde hashing-algoritmes, is een hash alleen vaak niet meer voldoende. Zo wordt er al lange tijd gewaarschuwd om geen gebruik meer van het SHA-1-algoritme te maken. Gebruikers krijgen dan ook het advies van Kickstarter om hun wachtwoord te wijzigen. Tevens zegt de website dat het maatregelen heeft genomen om de beveiliging van het platform aan te scherpen.

'Malware steeds vaker in RTF-documenten verstopt'

Onderzoeker krijgt 100.000 dollar voor aanval op Windows 8.1

Reacties (2)

16-02-2014, 13:52 door Wim ten Brink

KickStarter had mij gisteren al een email hierover toegestuurd:

On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.

No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account.

While no credit card data was accessed, some information about our customers was. Accessed information included usernames, email addresses, mailing addresses, phone numbers, and encrypted passwords. Actual passwords were not revealed, however it is possible for a malicious person with enough computing power to guess and crack an encrypted password, particularly a weak or obvious one.

As a precaution, we have reset your Facebook login credentials to secure your account. No further action is necessary on your part.

We’re incredibly sorry that this happened. We set a very high bar for how we serve our community, and this incident is frustrating and upsetting. We have since improved our security procedures and systems in numerous ways, and we will continue to do so in the weeks and months to come. We are working closely with law enforcement, and we are doing everything in our power to prevent this from happening again.

Kickstarter is a vibrant community like no other, and we can’t thank you enough for being a part of it. Please let us know if you have any questions, comments, or concerns. You can reach us at accountsecurity@kickstarter.com.

Thank you,

Yancey Strickler
Kickstarter CEO

16-02-2014, 14:16 door [Account Verwijderd] - Bijgewerkt: 16-02-2014, 14:17

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Criminelen stelen klantgegevens Kickstarter

Wachtwoord wijzigen

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren