אתר קיקסטארטר נפרץ, סיסמאות נגנבו

אתר מימון ההמונים הודיע למשתמשים כי בעקבות פריצה לבסיס הנתונים שלו הוא ממליץ לשנות את סיסמאת הכניסה. למרות הפריצה, פרטי האשראי של המשתמשים עדיין נשארו בטוחים (בחלקם).

מקור: יח״צ

מקור: יח״צ

אם עשיתם מסע קניות באתר מימון ההמונים Kickstarter לאחרונה, הדבר הראשון שתרצו לעשות כעת הוא לשנות את הסיסמא שלכם, לכל הפחות. מסתבר, כי האקרים הצליחו לפרוץ לבסיס הנתונים של קיקסטארטר ולגנוב משם את הסיסמאות של המשתמשים. הגורם שעלה על הפירצה בקיקסטארטר היו רשויות אכיפת החוק בארצות הברית, אשר דיווחו מיד לאתר ואלו סגרו את הפירצה. ״אנחנו מצטערים מאוד שזה קרה״, כתב בבלוג פוסט ובהודעת דואר אלקטרוני מיוחדת שנשלחה למשתמשים יאנסי סטריקלר (Yancey Strickler), מנכ״ל Kickstarter, ״קבענו רף גבוה מאוד לאופן בו אנחנו משרתים את הקהילה שלנו והאירוע הזה מתסכל ומרגיז״. למרבה המזל, עד כה דווח על 2 חשבונות בלבד בהם נעשה שימוש זדוני בפלטפורמה.

לפחות פרטי האשראי לא נגנבו

התוקפים הצליחו לגשת אל מסד הנתונים של האתר, הכולל את השמות, כתובות הדואר האלקטרוני, כתובות הדואר בבית, מספרי הטלפון והסיסמאות של המשתמשים. טוב, לא בדיוק הסיסמאות, אלא הגירסא המוצפנת של הסיסמאות. הסיסמאות הוצפנו בבסיס הנתונים על ידי אלגוריתם הצפנה חזק כגון SHA1 או הצפנות קריפטו חזקות אחרות. למרות זאת, עם כוח מחשוב מספיק חזק, סביר להניח שהסיסמאות הללו נחשפו בסופו של דבר, וגם אם שיניתם את הסיסמא שלכם ל-Kickstarter, במידה והשתמשתם באותה הסיסמא בכדי לגשת לאתרים אחרים עם אותה כתובת הדואר האלקטרוני – חשבונותיכם עדיין מצויים בסכנה.

אבל יש גם חדשות טובות (או פחות רעות) בכל העניין הזה. החשובות יותר הן שפרטי כרטיס האשראי אשר הזנתם ל-Kickstarter לא נגנבו, וזאת מפני שכל עסקאות התשלום מבוצעות דרך פלטפורמת התשלומים של Amazon ולא על ידי Kickstarter. עם זאת, Kickstarter כן מאחסנת את ארבעת הספרות האחרונות של הכרטיס ותאריך התפוגה, אך זהו לא משהו שצריך להיות מודאגים ממנו יותר מידי. כמו כן, במידה והתחברתם אל Kickstarter באמצעות פייסבוק הסיסמא שלכם לרשת החברתית לא בסכנה (במידה ולא מדובר באותה סיסמא, כמובן) – שכן הסיסמא שלכם מאוחסנת על גבי מסד הנתונים של פייסבוק ולא ב-Kickstarter, אשר עושה שימוש ב-API של פייסבוק בכדי לאפשר את הכניסה.

השתמשתם בסיסמא בכדי לגשת לשירותים אחרים? שנו אותה

אז מה אתם צריכים לעשות עכשיו? דבר ראשון, לשנות את הסיסמא שלכם ב-Kickstarter ואם עשיתם שימוש באותה הסיסמא בכדי להיכנס לחשבונות אינטרנט אחרים, כגון פייסבוק, GMail וכדומה, רצוי מאוד שתשנו את הסיסמא שלכם גם לשירותים הללו. ב-Kickstarter ממליצים להשתמש בשירותים כגון 1Password או Lastpass, אשר מסוגלים לבחור ולאחסן עבורכם סיסמא חזקה וייחודית עבור כל שירות שתבחרו להשתמש בו. כעת, יותר מתמיד ולאחר שראינו במו עינינו שגם הארגונים הגדולים ביותר (כגון מיקרוסופט, טוויטר או אדובי) אינם חסינים מפני פירצות או מפני האקרים, חשוב לשקול באופן חיובי את השימוש באחד מהשירותים הללו.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

7 תגובות על "אתר קיקסטארטר נפרץ, סיסמאות נגנבו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Rotem Akerman
Guest

הסוגריים בפסקה מיותרים:

במידה והתחברתם אל Kickstarter באמצעות פייסבוק הסיסמא שלכם לרשת החברתית לא בסכנה (במידה ולא מדובר באותה סיסמא, כמובן) – שכן הסיסמא שלכם מאוחסנת על גבי מסד הנתונים של פייסבוק ולא ב-Kickstarter, אשר עושה שימוש ב-API של פייסבוק בכדי לאפשר את הכניסה.

שכן גם אם מדובר באותה סיסמא, אין סכנה, לקיקסטארטר אין גישה אליה :)

jz
Guest

גבר, SHA1 זה לא “אלגוריתם הצפנה” , אלא פונקציית גיבוב חד כיוונית, כלומר לא ניתן לשחזר את המידע בשום אופן (ולו כי אורך הפלט קבוע ואורך הקלט אינו מוגבל) . פונקציות מעין אלו משמשות מעין חתימה על המידע בלי להסיר את תוכנו.

jz
Guest

*להסגיר

ישראל
Guest

כן אבל עם כוח מחשוב חזק שקיים כבר בימינו אתה יכול להחזיק DB של כל האפשריות הגיבוב לכל תווי הascii ל6-8 ספרות..

ב
Guest

לא היה השבוע “הפרוייקטים שאנחנו אוהבים” של קיקסטרטר ואינדיגוגו…
מאכזב :(

wpDiscuz

תגיות לכתבה: