Kickstarter hackeado, hechos y conclusiones

Kickstarter (www.kickstarter.com) una de las webs de crowdfunding online está ahora en la lista de sitios web hackeados y se considera que ha sufrido una brecha de seguridad de criticidad alta. Los hackers obtuvieron acceso ilegal al sitio web y robaron información de los usuarios, incluyendo nombres de usuario, contraseñas cifradas, direcciones de correo electrónico y números de teléfono. Sin embargo, entre la información robada parece que no hay ningún dato de tarjetas de crédito.


La compañía reveló en una nota que los hackers tuvieron éxito en la obtención de acceso a dos cuentas. La compañía recomendó a los usuarios que cambiaran su contraseña de inmediato. Incluso la empresa dijo que si los usuarios estaban utilizando la misma contraseña para otros sitios web, debían cambiarla de inmediato para mantener la seguridad.

Las contraseñas robadas se cifran utilizando SHA-1, y la compañía avisó a los usuarios del cambio de contraseña con el propósito de login. Sin embargo, la compañía no almacena el número de tarjeta de crédito completo, aunque sí almacena la fecha de caducidad y los últimos cuatro dígitos de su tarjeta de crédito.


Después de la revelación de tal actividad, la compañía parece que ha dejado atrás el ataque, pero informaba a los clientes que el sábado 15 de febrero 2014: "Sentimos mucho que esto haya sucedido. Tenemos el listón muy alto en la forma en la que servimos a nuestra comunidad, y este incidente es frustrante y molesto." la empresa justifica en un blog. La compañía ha respondido a más de 5.000 consultas sobre esta noticia.

Kickstarter aprendió de este ataque, y ha puesto su atención en la mejora de sus procesos de seguridad y de sus sistemas de seguridad de muchas maneras. La compañía también está haciendo todo lo que está su alcance para evitar este tipo de ataques en el futuro próximo.

Los increíbles cinco hechos acerca de este informe:

• Kickstarter no sabía que habían sido hackeados, hasta que la autoridad policial les informó.
• No hay información robada de tarjetas de crédito excepto nombres de usuario, contraseñas, direcciones de correo electrónico, etc.
• La compañía no ha revelado la cantidad de datos robada.
• Las contraseñas se protegen criptográficamente (hash) lo que hace a los hackers difícil romperlas.
• La reutilización de una contraseña en múltiples sitios es peligrosa y así lo comunicó la compañía.
• Por último, la compañía reveló todos los detalles después de cuatro días del ataque.

En conclusión:

La cibercrimen es una preocupación creciente en el mundo de Internet, y nos estamos dando cuenta que el año pasado se robaron millones de datos y que todavía estas brechas e incursiones siguen vigentes en el actual 2014. De los puntos anteriores, sólo podemos mantener la esperanza de que la empresa encuentre el verdadero culpable detrás de este ataque, y que pueda recuperar la confianza y la fe de sus clientes.

English version:

 
Kickstarter (www.kickstarter.com) one of the online crowdfunding website is now in the list of the hacked websites, which is to be stated a high-profile website breach. Hackers gained illegal access of the website and stole user’s information, including usernames, encrypted passwords, email address, and phone numbers. However, during this data breach there is no harm caused to the credit card data.



The company revealed in a note that the hackers were successful in gaining access of two accounts. The company said to users to change their password right away for the website. Even the company said to users that if users were utilizing the same password for other websites, then users should change immediately for better security. 


The stolen passwords were encrypted using SHA-1, and the company said to users to apply new password for login purpose. However, the company does not store the full credit card number, but only stores expiry date and the last four digits of credit card.


After revelation of such hacking activity, the company has overcome from the breach but informs customers on Saturday, 15 Feb. 2014. "We’re incredibly sorry that this happened. We set a very high bar for how we serve our community, and this incident is frustrating and upsetting." the company justifies in a blog post. The company has responded to more than 5000 inquiries about this news.
 

Kickstarter learned from this attack, and improved their security processes and security systems in many ways. The company is also doing everything within their power to avert such attacks in the near future.

The amazing five facts about this report:


•    Kickstarter did not know that they had been hacked, but the law enforcement authority informed them.
•    No credit card data was breached except username, passwords, email address, etc.
•    The company has not disclosed the amount of breached data.
•    The passwords were not encrypted but cryptographically hashed, which made it difficult for hackers to break them.
•    Reusing a password in multiple sites is dangerous so stop using them as per company statement.
•    Finally, the company revealed all the details after four days of the attack.
 

In the conclusion:
 

Cyber crime is a growing concern for internet world, and we have noticed millions of data breach happened in the past year and is still prevailing in the current 2014 year. From the above points, we can only keep hope that the company will find the real culprit behind this attack, and can restore faith in customer’s community.

About Author 
 
Abel Wike is a head of fraud prevention team at ClickSSL.com She enjoys the challenges of creativity and attention to detail. Advance Technology has always a source of wonder for her, sparking her research, to extend her sympathetic and knowledge of this earliest progress. In so doing she has focused with a deeper insight into various technologies. Follow her on Facebook, Twitter & LinkedIn

Comentarios