Video: ‘Hackers’ crean mercado negro para vender información sobre tarjetas de crédito robadas (Noviembre 2024)
La fatiga de la violación de datos está comenzando y es solo febrero. Kickstarter es el último sitio de alto perfil que hackeado.
Las autoridades policiales informaron a Kickstarter sobre la violación el 12 de febrero, y Kickstarter inmediatamente cerró la vulnerabilidad que permitió el paso de los atacantes, escribió Yancey Strickler, CEO de Kickstarter, en una publicación de blog y en un correo electrónico enviado a los usuarios. La compañía "investigó a fondo la situación" en los últimos cuatro días antes de notificar a los usuarios, y el equipo ya comenzó a "fortalecer las medidas de seguridad" en toda su infraestructura, dijo Strickler.
"Lamentamos enormemente que esto haya sucedido. Establecimos un estándar muy alto para la forma en que servimos a nuestra comunidad, y este incidente es frustrante y molesto", dijo Strickler.
No hay excusa para que alguien siga usando contraseñas débiles o reutilizando credenciales en múltiples sitios. Como Security Watch ha dicho una y otra vez, (ya sea que estemos hablando de LinkedIn, Twitter, Adobe, Evernote o Dropbox, por nombrar algunos), necesitamos usar contraseñas seguras, asegurarnos de que las contraseñas sean únicas para que una violación un sitio no afecta a varias cuentas y utiliza métodos de autenticación más fuertes, como activar la autenticación de dos factores o usar un administrador de contraseñas. Con Kickstarter uniéndose a la lista, el mismo consejo aún se aplica.
Lo que fue robado
Para los usuarios de Kickstarter, hay algunas buenas y malas noticias. La buena noticia es que no se accedió a los datos de la tarjeta de crédito. Eso es muy probable porque Kickstarter nunca tiene los datos de su tarjeta de crédito, ya que todas las transacciones de pago son procesadas y almacenadas por Amazon Payments, no por Kickstarter. Si bien Kickstarter almacena los últimos cuatro dígitos y las fechas de vencimiento de las tarjetas de crédito utilizadas para financiar proyectos fuera de los Estados Unidos, esta información no fue violada, dijo la compañía.
La mala noticia es que los atacantes ingresaron a la base de datos que contiene nombres de usuario, direcciones de correo electrónico, direcciones postales, números de teléfono y contraseñas. Hasta ahora parece que dos cuentas pueden haber sido utilizadas de manera fraudulenta. Kickstarter ya ha vuelto a proteger esas cuentas y ha notificado a los usuarios.
Seguridad de contraseña
Las contraseñas estaban encriptadas, lo que significa que tomaría algún tiempo a los atacantes y bastantes recursos informáticos para descifrarlas. Parece que algunas de las contraseñas fueron saladas y procesadas usando el algoritmo SHA1, mientras que otras usaron el cifrado bcrypt mucho más fuerte. De todos modos, ningún cifrado es completamente a prueba de fallas y teniendo en cuenta lo fácil que es hacer girar máquinas potentes en Amazon Elastic Compute Cloud (EC2) u otras plataformas en la nube, es seguro asumir que su contraseña eventualmente se descifrará. Debería cambiar su contraseña de inmediato.
Una buena noticia para los usuarios de Kickstarter que usan sus cuentas de Facebook para iniciar sesión: sus credenciales de Facebook permanecen seguras ya que esa información se almacena en los servidores de Facebook. Kickstarter ha revocado todos los tokens que permiten los inicios de sesión de Facebook, por lo que la próxima vez que intente iniciar sesión, se le pedirá que vincule manualmente las cuentas nuevamente.
Kickstarter recomienda usar un administrador de contraseñas como LastPass o 1Password. Consulte todos los administradores de contraseñas que PCMag ha revisado, incluidos LastPass 3.0 y Dashlane 2.0, dos productos que recibieron nuestra designación Editor's Choice.
¿Qué sigue?
"Estamos trabajando estrechamente con la policía y estamos haciendo todo lo que está a nuestro alcance para evitar que esto vuelva a suceder", dijo Strickley. Si bien es bueno que Kickstarter esté haciendo todo lo posible, los usuarios también deberían hacer todo lo posible para minimizar el daño en caso de otra violación.
Con todas estas infracciones, es cada vez más claro que los usuarios necesitan ser más conocedores de la seguridad. No reutilice las contraseñas en todos los sitios, incluso si considera que son menos importantes o cree que no hay información confidencial que proteger. Las contraseñas deben ser largas (más de ocho caracteres si puede administrarlas) y complejas con una combinación de números, signos de puntuación y letras mayúsculas y minúsculas. Finalmente, considere activar la autenticación de dos factores si el sitio ofrece la función, y considere usar un administrador de contraseñas.
"Desde entonces, hemos mejorado nuestros procedimientos y sistemas de seguridad de numerosas maneras, y continuaremos haciéndolo en las próximas semanas y meses", dijo Strickley.
