maanantai 17. helmikuuta 2014

Tietomurto Kickstarteriin: Vaihda salasana välittömästi

Suosittu joukkorahoituspalvelu Kickstarter on hakkeroitu, palvelu kehottaa käyttäjiään vaihtamaan tunnuksiensa salasanat.

Kickstarter on lähettänyt kaikille sen rekisteröityneille jäsenille sähköpostissa tiedotteen jossa se kehottaa vaihtamaan salasanan käyttäjän omalle tilille.

Hakkeri on tunkeutunut palvelun järjestelmiin viime viikon aikana palvelun ylläpito ilmoittaa viikonloppuna julkaistussa tiedotteessaan.

Ylläpito kertoo että salasanat ovat vaarassa mutta ne on salattu, niiden purku ei kuitenkaan ole mahdotonta sillä Kickstarter luopui salasanojen suolaamisesta (SHA-1) jossakin vaiheessa, vain vanhempien käyttäjätilien salasanat ovat suolattuja, tuoreiden tunnusten salasanat taas ei.

Kickstarter ei kerro tarkalleen koska suolauksesta luovuttiin joten salasanojen vaihdos kannattaa joka tapauksessa.

Palvelu kertoo myös että esimerkiksi luottokorttitietoihin hakkeri ei ole päässyt, se on kuitenkin saanut käyttäjätietokannasta varastettua seuraavat asiat:  käyttäjätunnuksen, sähköpostin, kryptatun salasanan (hash+bcrypt), postitusosoitteen sekä puhelinnumeron.

Kickstarter luonnollisesti on pahoillaan palvelun käyttäjille aiheuttamaa vaivaa ja on jo kerinnyt kehittämään tietoturvaansa ja kehittää sitä myös jatkossa lisää, samalla se tutkii tietomurtoa yhdessä viranomaisten kanssa.

LÄHDE: The Next Web