Video: Milioni di email e password rubate, ecco cosa fare per proteggersi dagli hacker (Novembre 2024)
L'affaticamento della violazione dei dati si sta verificando ed è solo febbraio. Kickstarter è l'ultimo sito di alto profilo ad essere violato.
Le autorità di contrasto hanno informato Kickstarter della violazione il 12 febbraio e Kickstarter ha immediatamente chiuso la vulnerabilità che ha permesso agli aggressori di attraversare, Yancey Strickler, CEO di Kickstarter, ha scritto su un post di blog e in un'e-mail inviata agli utenti. La società "ha studiato a fondo la situazione" negli ultimi quattro giorni prima di avvisare gli utenti e il team ha già iniziato a "rafforzare le misure di sicurezza" in tutta la sua infrastruttura, ha affermato Strickler.
"Siamo incredibilmente dispiaciuti di ciò che è successo. Abbiamo fissato un livello molto alto per il modo in cui serviamo la nostra comunità, e questo incidente è frustrante e sconvolgente", ha detto Strickler.
Non ci sono scuse per chiunque stia ancora usando password deboli o riutilizzando credenziali su più siti. Come Security Watch ha ripetuto più volte (sia che si tratti di LinkedIn, Twitter, Adobe, Evernote o Dropbox, per citarne alcuni), dobbiamo usare password complesse, assicurarci che le password siano univoche in modo che una violazione di un sito non influisce su più account e utilizza metodi di autenticazione più potenti come l'attivazione dell'autenticazione a due fattori o l'utilizzo di un gestore di password. Con l'adesione di Kickstarter all'elenco, si applica sempre lo stesso consiglio.
Cosa è stato rubato
Per gli utenti di Kickstarter, ci sono alcune buone e cattive notizie. La buona notizia è che non è stato effettuato l'accesso ai dati della carta di credito. Questo è molto probabilmente perché Kickstarter non ha mai i dati della tua carta di credito, poiché tutte le transazioni di pagamento vengono elaborate e archiviate da Amazon Payments, non da Kickstarter. Mentre Kickstarter memorizza le ultime quattro cifre e le date di scadenza delle carte di credito utilizzate per finanziare progetti al di fuori degli Stati Uniti, questa informazione non è stata violata, ha detto la società.
La cattiva notizia è che gli aggressori sono entrati nel database contenente nomi utente, indirizzi e-mail, indirizzi postali, numeri di telefono e password. Finora sembra che due account possano essere stati utilizzati in modo fraudolento. Kickstarter ha già protetto nuovamente tali account e avvisato gli utenti.
Sicurezza password
Le password erano crittografate, il che significa che ci sarebbero voluti un po 'di tempo agli attaccanti e un bel po' di risorse informatiche per decifrarli. Sembra che alcune delle password siano state salate e cancellate usando l'algoritmo SHA1, mentre le altre hanno usato la crittografia criptata molto più potente. Indipendentemente da ciò, nessuna crittografia è completamente a prova di errore e, considerando quanto sia facile far girare potenti macchine su Amazon Elastic Compute Cloud (EC2) o altre piattaforme cloud, è sicuro che alla fine la tua password verrà decifrata. Dovresti assolutamente cambiare la tua password immediatamente.
Una buona notizia per gli utenti di Kickstarter che usano i loro account Facebook per accedere: le loro credenziali di Facebook rimangono sicure poiché tali informazioni sono archiviate sui server di Facebook. Kickstarter ha revocato tutti i token che consentono l'accesso a Facebook, quindi la prossima volta che proverai ad accedere, ti verrà richiesto di collegare nuovamente gli account manualmente.
Kickstarter ha raccomandato di utilizzare un gestore di password come LastPass o 1Password. Scopri tutti i gestori di password che PCMag ha esaminato, inclusi LastPass 3.0 e Dashlane 2.0, due prodotti che hanno ricevuto la designazione del nostro Editor's Choice.
What Next?
"Stiamo lavorando a stretto contatto con le forze dell'ordine e stiamo facendo tutto il possibile per impedire che ciò accada di nuovo", ha affermato Strickley. Sebbene sia positivo che Kickstarter stia facendo tutto il possibile, gli utenti dovrebbero anche fare tutto il possibile per ridurre al minimo il danno in caso di un'altra violazione.
Con tutte queste violazioni, è sempre più chiaro che gli utenti devono diventare più esperti di sicurezza. Non riutilizzare le password tra i siti, anche se le consideri meno importanti o ritieni che non vi siano informazioni sensibili da proteggere. Le password devono essere lunghe (più di otto caratteri se è possibile gestirle) e complesse con una combinazione di numeri, segni di punteggiatura e lettere maiuscole miste. Infine, considera di attivare l'autenticazione a due fattori se il sito offre la funzionalità e cerca di utilizzare un gestore di password.
"Da allora abbiamo migliorato le nostre procedure e i nostri sistemi di sicurezza in numerosi modi e continueremo a farlo nelle settimane e nei mesi a venire", ha affermato Strickley.