Kickstarter a informé sur son blog d'une attaque qui a eu lieu mercredi dernier. Les pirates ont accédé à des noms d'utilisateur, adresses e-mail, numéros de téléphone, adresses postales et mots de passe cryptés. Heureusement, aucun détail de carte de crédit n'a été divulgué.
Kickstarter a répondu à quelques questions sur cet incident:
- Comment les mots de passe ont-ils été cryptés? Les mots de passe les plus anciens étaient uniquement salés et digérés avec SHA-1 à plusieurs reprises. Les mots de passe plus récents sont hachés avec bcrypt.
- Kickstarter stocke-t-il les données de carte de crédit? Kickstarter ne stocke pas les numéros de carte de crédit complets. Pour les promesses de dons effectuées en dehors des États-Unis, nous enregistrons les quatre derniers chiffres et les dates d'expiration des cartes de crédit. Aucune de ces données n'a été accédée.
- Si Kickstarter a été informé mercredi soir, pourquoi les gens ont-ils été informés samedi? Nous avons immédiatement fermé la brèche et informé tout le monde dès que nous avions mené une enquête approfondie sur la situation.
- Kickstarter travaillera-t-il avec les deux personnes dont les comptes ont été compromis? Oui. Nous les avons contactés et avons sécurisé leurs comptes.
- J'utilise Facebook pour me connecter à Kickstarter. Mon identifiant est-il compromis? Non. Par précaution, nous réinitialisons toutes les informations de connexion à Facebook. Les utilisateurs de Facebook peuvent simplement se reconnecter lorsqu'ils se rendent sur Kickstarter.