Kickstarter informert i bloggen om et angrep som ble gjort i forrige onsdag. Hackere har tilgang til brukernavn, e-postadresser, telefonnumre, adresser og krypterte passord. Heldigvis var ingen kredittkortdetaljer lekket.
Kickstarter besvarte noen spørsmål om denne hendelsen:
- Hvordan var passord kryptert? Eldre passord ble unikt saltet og fordøyd med SHA-1 flere ganger. Nyere passord er hashed med bcrypt.
- Har Kickstarter lagret kredittkortdata? Kickstarter lagrer ikke hele kredittkortnummer. For løfter til prosjekter utenfor USA lagrer vi de siste fire sifrene og utløpsdatoer for kredittkort. Ingen av disse dataene var på noen måte tilgjengelig.
- Hvis Kickstarter ble varslet onsdag kveld, hvorfor ble folk varslet om lørdag? Vi avsluttet straks bruddet og varslet alle så snart vi hadde grundig undersøkt situasjonen.
- Vil Kickstarter arbeide med de to personene hvis kontoer ble kompromittert? Ja. Vi har nådd ut til dem og har sikret sine kontoer.
- Jeg bruker Facebook for å logge inn på Kickstarter. Er innloggingen min skadet? Nei. Som en forholdsregel, tilbakestiller vi alle påloggingsinformasjon for Facebook. Facebook-brukere kan bare koble til igjen når de kommer til Kickstarter.