Vidéo: 30 000 MOTS DE PASSE CRACKÉS EN 5 MINUTES ! (Novembre 2024)
La fatigue des données est en train de s'installer et nous ne sommes qu'en février. Kickstarter est le dernier site de haut niveau à être piraté.
Les autorités chargées de l'application de la loi ont informé Kickstarter de l'infraction le 12 février, et Kickstarter a immédiatement fermé la vulnérabilité qui permettait aux attaquants, a déclaré Yancey Strickler, PDG de Kickstarter, sur un blog et dans un courrier électronique envoyé aux utilisateurs. La société a "procédé à une enquête approfondie sur la situation" au cours des quatre derniers jours avant d'informer les utilisateurs. L'équipe a déjà commencé à "renforcer les mesures de sécurité" dans l'ensemble de son infrastructure, a déclaré Strickler.
"Nous sommes extrêmement désolés que cela se soit produit. Nous avons placé la barre très haut pour la façon dont nous servons notre communauté, et cet incident est frustrant et bouleversant", a déclaré Strickler.
Il n'y a aucune excuse pour quiconque utilise encore des mots de passe faibles ou réutilise les informations d'identification sur plusieurs sites. Comme Security Watch l' a répété à maintes reprises (que nous parlions de LinkedIn, Twitter, Adobe, Evernote ou Dropbox, pour n'en nommer que quelques-uns), nous devons utiliser des mots de passe forts, nous assurer que les mots de passe sont uniques afin d'éviter toute violation un site n'affecte pas plusieurs comptes et utilise des méthodes d'authentification plus strictes, telles que l'activation de l'authentification à deux facteurs ou l'utilisation d'un gestionnaire de mots de passe. Avec Kickstarter ajouté à la liste, le même conseil s'applique toujours.
Qu'est-ce qui a été volé
Pour les utilisateurs de Kickstarter, il y a de bonnes et de mauvaises nouvelles. La bonne nouvelle est qu'aucune donnée de carte de crédit n'a été consultée. C'est probablement parce que Kickstarter n'a jamais les données de votre carte de crédit pour commencer, puisque toutes les transactions de paiement sont traitées et stockées par Amazon Payments, et non par Kickstarter. Bien que Kickstarter stocke les quatre derniers chiffres et les dates d'expiration des cartes de crédit utilisées pour financer des projets en dehors des États-Unis, cette information n'a pas été violée, a déclaré la société.
La mauvaise nouvelle est que des assaillants ont pénétré dans la base de données contenant des noms d'utilisateur, des adresses électroniques, des adresses postales, des numéros de téléphone et des mots de passe. Jusqu'à présent, il semble que deux comptes aient été utilisés frauduleusement. Kickstarter a déjà sécurisé de nouveau ces comptes et en a informé les utilisateurs.
Sécurité du mot de passe
Les mots de passe étaient cryptés, ce qui signifie qu'il faudrait un certain temps aux attaquants et pas mal de ressources informatiques pour les résoudre. Il semble que certains mots de passe aient été salés et hachés à l'aide de l'algorithme SHA1, tandis que les autres ont utilisé le cryptage beaucoup plus puissant de bcrypt. Quoiqu’il en soit, aucun chiffrement n’est un échec total et compte tenu de la facilité avec laquelle il est possible de faire tourner des machines puissantes sur Amazon Elastic Compute Cloud (EC2) ou d’autres plates-formes cloud, il est prudent de présumer que votre mot de passe sera éventuellement fissuré. Vous devez absolument changer votre mot de passe immédiatement.
Une bonne nouvelle pour les utilisateurs de Kickstarter qui utilisent leur compte Facebook pour se connecter: leurs identifiants Facebook restent en sécurité, car ces informations sont stockées sur des serveurs Facebook. Kickstarter a révoqué tous les jetons autorisant les connexions à Facebook. Ainsi, lors de votre prochaine connexion, vous serez invité à relier manuellement les comptes.
Kickstarter a recommandé d'utiliser un gestionnaire de mots de passe tel que LastPass ou 1Password. Découvrez tous les gestionnaires de mots de passe que PCMag a examinés, notamment LastPass 3.0 et Dashlane 2.0, deux produits qui ont reçu notre désignation de Choix de l'éditeur.
Et ensuite?
"Nous travaillons en étroite collaboration avec les forces de l'ordre et nous faisons tout ce qui est en notre pouvoir pour empêcher que cela ne se reproduise", a déclaré Strickley. Bien que Kickstarter fasse tout ce qui est en son pouvoir, les utilisateurs doivent également faire tout leur possible pour minimiser les dommages en cas de nouvelle infraction.
Avec toutes ces violations, il est de plus en plus évident que les utilisateurs doivent être plus sensibles à la sécurité. Ne réutilisez pas les mots de passe d'un site à l'autre, même si vous les considérez comme moins importants ou estimez qu'il n'y a aucune information sensible à protéger. Les mots de passe doivent être longs (plus de huit caractères si vous pouvez le gérer) et complexes, avec un mélange de chiffres, de signes de ponctuation et de lettres. Enfin, envisagez d'activer l'authentification à deux facteurs si le site propose cette fonctionnalité et envisagez d'utiliser un gestionnaire de mots de passe.
"Depuis, nous avons amélioré nos procédures et nos systèmes de sécurité de nombreuses manières, et nous continuerons à le faire dans les semaines et les mois à venir", a déclaré Strickley.
