Dieven stelen wachtwoorden bij Kickstarter

Kickstarter heeft afgelopen weekend een grote inbraak bekendgemaakt.

Het bedrijf zelf wist al sinds woensdag van de kraak, toen het door gerechtelijke diensten daarover op de hoogte werd gesteld. Volgens de bekende crowdfundingwebsite werd het lek onmiddellijk gedicht en zijn alle veiligheidsmaatregelen voor de hele site opgeschroefd. Na een grondig onderzoek werden vervolgens de gebruikers op de hoogte gesteld.

[related_article id=”161920″]

Kickstarter zegt zelf geen Amerikaanse kredietkaartgegevens op te slaan. Van buitenlandse gebruikers worden alleen de vier laatste cijfers bijgehouden, maar ook die data werden niet bemachtigd door de hackers.

Versleuteld met SHA-1 en bcrypt
Hoewel er geen kredietkaartnummers werden gestolen, konden de dieven wel gebruikersnamen, e-mailadressen, telefoonnummers en versleutelde wachtwoorden buit maken. Oudere wachtwoorden waren met SHA-1 versleuteld, meer recente exemplaren met bcrypt.

“De echte wachtwoorden werden niet bemachtigd,” zegt de site in blogbericht, “maar kwaadaardige personen met voldoende computerkracht kunnen de wachtwoorden kraken, zeker als zwakke of voor de hand liggende wachtwoorden.”

Kickstarter raadt wel aan om een nieuw wachtwoord te maken voor je Kickstarter-account, en ook alle andere accounts waar je hetzelfde wachtwoord voor gebruikt.

Verdachte activiteit op twee accounts
Wie op Kickstarter inlogt met zijn Facebookgegevens kan ook gerust zijn, verzekert het bedrijf. Die log-ins zijn gereset, Facebookgebruikers moeten gewoon opnieuw inloggen.

Op dit moment zou er ook nog geen verdachte activiteit geweest zijn op de Kickstarter-accounts, op twee uitzonderingen na. Deze gebruikers zijn op de hoogte gebracht.