Hacker entwenden Kundendaten von Kickstarter, ändert eure Passwörter
Ich bin großer Fan von Crowdfunding, wie man es zum Beispiel bei Indiegogo oder Kickstarter realisieren kann. Mit der Macht der Masse lassen sich viele spannenden Projekte finanzieren, so wurde zum Beispiel die Smartwatch Pebble oder die Konsole Ouya mittels Crowdfunding finanziert. Der wohl bekannteste Dienst, Kickstarter, informiert aktuell per Mail darüber, dass sie einen Einbruch in die Server feststellen mussten.
Am Mittwoch sei man von Behörden auf diesen Umstand hingewiesen worden. Nachdem man von der Lücke erfuhr, schloss man diese umgehend. Laut Kickstarter wurden keine Kreditkartendaten entwendet. Was aber entwendet wurde: Benutzernamen, eventuell angegebene Telefonnummern und die verschlüsselten Passwörter. Obwohl diese verschlüsselt sind, teilt Kickstarter mit, dass diese unter Umständen zu entschlüsseln wären, weshalb man jeden Benutzer anhält, das Passwort zu ändern.
„Am Mittwoch sei man von Behörden auf diesen Umstand hingewiesen“ Ein Schelm, wer etwas böse denkt. *hust* NSA *hust*
Kickstarter ist damit nur ein weiteres Unternehmen, welches gehackt wurde. :/
@WarpigtheKiller: Das musst du mir erklären … was hat die NSA damit zu tun?
Recht geschiehts, sofern man wirklich Passwörter verschlüsselt und nicht gehasht hat.
Tolles Unternehmen: Gehe ich auf Kackstarter werde ich mit der ach so tollen Kackstarterwelt bombardiert. Auf der Startseite KEIN WORT von irgendeinem Einbruch. Wirklich seriöses Unternehmen, das. Nicht.
Die Passwörter wurden nicht verschlüsselt! Die wurden gehasht, das ist ein Unterschied! Ältere Passwörter mit SHA1 und salt, neuere mit bcrypt. Die Passwörter sind also sicher…
@muschel: Das fette, gelbe Banner mit dem Hinweis ist auf der Startseite eigentlich nicht zu übersehen. Die Kunden wurden sofort und ausführlich per Mail informiert. Kein Grund für Profanitäten.
Wie man im 21. Jahundert Passwörter verschlüsselt anstatt zu hashen kann ist mir ein Räzel.
Achja… KeePass ftw! Kann ich nur allen Leute wärmstens ans Herz legen 🙂
@Leo
Das wurde hier im Blog offensichtlich fehlerhaft übersetzt. Im Blog schreibt der CEO, dass „ältere“ Passwörer zusätzlich zu SHA1 gesaltet wurden. Neuere werden mit bcrypt gehasht.
@Kiki
Also ich sehe auch kein großes gelbes Banner, wenn ich auch die Kickstarter-Seite gehe.
Edit: Ok.. man muss sich erst einloggen ^^