Video: CONFidence 2018: A 2018 practical guide to hacking RFID/NFC (Sławomir Jasek) (Oktober 2024)
Utmattelse av datainnbrudd er i ferd med å begynne, og det er først februar. Kickstarter er det siste nettstedet med høy profil som blir hacket.
Rettshåndhevende myndigheter informerte Kickstarter om bruddet 12. februar, og Kickstarter lukket umiddelbart sårbarheten som tillot angriperne gjennom, skrev Yancey Strickler, administrerende direktør i Kickstarter, i et blogginnlegg og i en e-post sendt til brukere. Selskapet "undersøkte situasjonen grundig" de siste fire dagene før de varslet brukere, og teamet har allerede begynt å "styrke sikkerhetstiltak" i hele infrastrukturen, sa Strickler.
"Vi er utrolig lei oss for at dette skjedde. Vi satte en veldig høy retning for hvordan vi tjener samfunnet vårt, og denne hendelsen er frustrerende og opprørende, " sa Strickler.
Det er ingen unnskyldning for noen å fortsatt bruke svake passord eller gjenbruke legitimasjon på flere nettsteder. Som Security Watch har sagt gang på gang, (enten vi snakker om LinkedIn, Twitter, Adobe, Evernote eller Dropbox, for å nevne noen få), må vi bruke sterke passord, sørge for at passord er unike slik at et brudd på ett nettsted påvirker ikke flere kontoer, og bruker sterkere autentiseringsmetoder som å slå på tofaktorautentisering eller bruke en passordbehandling. Når Kickstarter ble med på listen, gjelder fortsatt de samme rådene.
Hva ble stjålet
For Kickstarter-brukere er det noen gode nyheter og dårlige nyheter. Den gode nyheten er at det ikke ble tilgang til noen kredittkortdata. Det er mest sannsynlig fordi Kickstarter aldri har kredittkortdataene dine til å begynne med, siden alle betalingstransaksjoner blir behandlet og lagret av Amazon Payments, ikke av Kickstarter. Mens Kickstarter lagrer de fire siste sifrene og utløpsdatoene for kredittkort som ble brukt til å finansiere prosjekter utenfor USA, ble ikke denne informasjonen brutt, opplyser selskapet.
Den dårlige nyheten er at angripere kom inn i databasen som inneholder brukernavn, e-postadresser, e-postadresser, telefonnumre og passord. Så langt ser det ut til at to kontoer kan ha blitt brukt på svindel. Kickstarter har allerede sikret disse kontoene og varslet brukerne.
Passordsikkerhet
Passordene ble kryptert, noe som betyr at det ville ta angripere litt tid og ganske mye databehandlingsressurser å knekke dem. Det ser ut til at noen av passordene ble saltet og hashet med SHA1-algoritmen, mens de andre brukte den mye sterkere bcrypt-krypteringen. Uansett, ingen kryptering er fullstendig fail-proff, og med tanke på hvor enkelt det er å spinne opp kraftige maskiner på Amazon Elastic Compute Cloud (EC2) eller andre skyplattformer, er det trygt å anta at passordet ditt til slutt vil bli sprukket. Du bør absolutt endre passordet ditt med en gang.
Et godt nytt for Kickstarter-brukere som bruker Facebook-kontoene sine for å logge på: Facebook-legitimasjonen deres er fortsatt sikker siden denne informasjonen er lagret på Facebook-servere. Kickstarter har opphevet alle kodene som tillater Facebook-pålogginger, så neste gang du prøver å logge deg på, blir du bedt om å koble kontoene manuelt igjen.
Kickstarter anbefalte å bruke en passordbehandling som LastPass eller 1Password. Sjekk ut alle passordadministratorene PCMag har gjennomgått, inkludert LastPass 3.0 og Dashlane 2.0, to produkter som fikk vår Editor's Choice-betegnelse.
Hva nå?
"Vi jobber tett med rettshåndhevelse, og vi gjør alt som står i vår makt for å forhindre at dette skjer igjen, " sa Strickley. Selv om det er bra Kickstarter gjør alt det kan, bør brukerne også gjøre alt for å minimere skaden i tilfelle et nytt brudd.
Med alle disse bruddene blir det stadig tydeligere at brukerne trenger å bli mer sikkerhetskyndige. Ikke bruk passord på tvers av nettsteder, selv om du anser dem for å være mindre viktige, eller det er ingen sensitive opplysninger å beskytte. Passord må være lange (mer enn åtte tegn hvis du kan administrere det) og komplisert med en blanding av tall, tegnsettingstegn og små bokstaver. Til slutt kan du vurdere å slå på tofaktorautentisering hvis nettstedet tilbyr funksjonen, og se på å bruke en passordbehandling.
"Vi har siden forbedret sikkerhetsprosedyrene og systemene våre på mange måter, og vi vil fortsette å gjøre det i ukene og månedene som kommer, " sa Strickley.
