Le très populaire site de financement par la foule Kickstarter ? qui tourne et se déplace donne de bons projets pour l’espace ? le financer ? de ce PerlmOl ? a été attaqué par des pirates qui ont réussi à accéder à certaines données des utilisateurs. La recommandation immédiate est que toute personne ayant un compte sur le service change son mot de passe dès que possible pour éviter les problèmes.
Et si vous utilisez le même mot de passe que Kickstarter sur d’autres sites… eh bien, vous n’avez pas été très malin dans votre stratégie pour vous protéger en ligne, n’est-ce pas ? Tsc, tsc.
Le PDG Yancey Strickler a déclaré que l’attaque avait été signalée par les autorités mercredi dernier (12), bien qu’elle n’ait été rendue publique que samedi (15). Il a déclaré que ce délai était nécessaire pour que l’équipe de sécurité puisse prendre les mesures appropriées. Kickstarter soutient que la vulnérabilité a déjà été corrigée et que les utilisateurs sont à nouveau en sécurité.
Kickstarter a déclaré qu’il ne stockait pas les numéros de cartes de crédit en entier. Pour les dons de projets en dehors des États-Unis, nous enregistrons les quatre derniers chiffres et les dates d’expiration des cartes de crédit. Aucune de ces données n’a été consultée de quelque manière que ce soit.
Néanmoins, le service de financement de la foule a confirmé que les noms d’utilisateurs, les courriels, les adresses et les numéros de téléphone des particuliers ont été exposés pendant l’attaque. Les mots de passe eux-mêmes n’ont pas été révélés, mais il est possible qu’une personne malveillante disposant d’une puissance de traitement suffisante découvre et casse un mot de passe crypté ? surtout s’il est faible ou évident”, informe le site.
Bien qu’ils n’aient pas de carte de crédit, l’accès à une telle quantité d’informations pourrait poser problème à l’avenir. Soyez donc très prudent si quelqu’un vous appelle pour essayer de confirmer certaines données d’un dossier secret. Il pourrait s’agir d’un criminel profitant de l’ingénierie sociale pour voler des données. Bien que de telles situations soient plus susceptibles de se produire dans les pays les plus pertinents pour la communauté Kickstarter, tels que les États-Unis et les nations européennes.
Les mots de passe les plus anciens étaient de type SHA-1. Les mots de passe les plus récents passent par l’algorithme bcrypt, qui est considéré comme plus sûr.
Au moins deux utilisateurs ont vu leur compte complètement piraté, selon Kickstarter. Les employés du site travaillent déjà avec ces personnes pour limiter l’activité des pirates. Ce sont les seuls cas de comptes compromis, donc il y a des nouvelles jusqu’à présent.
Et puisque tant de gens utilisent Facebook pour accéder au financement de la foule, une autre mesure prise par Kickstarter consiste à relancer la fonction d’authentification du site avec le login du réseau social. Toute personne qui souhaite continuer à utiliser Kickstarter doit simplement ré-autoriser la demande. Très simple, d’après ce qu’ils ont dit.
1Password et LastPass ont été recommandés pour aider les utilisateurs à sécuriser leurs pages. Il s’agit de deux applications qui créent automatiquement des mots de passe pour les différentes connexions de la vie quotidienne. Tous les accès sont autorisés sur présentation d’un mot de passe maître, pour que tous les autres puissent gouverner.