Video: So KÖNNTE catz den Instagram-Account von Mercedes gehackt haben | #Cybersicherheit (Kann 2024)
Die Erschöpfung von Datenschutzverletzungen setzt ein und es ist erst Februar. Kickstarter ist die neueste hochkarätige Site, die gehackt werden soll.
Die Strafverfolgungsbehörden informierten Kickstarter am 12. Februar über die Sicherheitslücke und Kickstarter schloss sofort die Sicherheitslücke, durch die die Angreifer kamen. Das Unternehmen habe die Situation in den letzten vier Tagen "gründlich untersucht", bevor es die Benutzer benachrichtigt habe, und das Team habe bereits begonnen, "die Sicherheitsmaßnahmen in seiner gesamten Infrastruktur zu verstärken", sagte Strickler.
"Es tut uns unglaublich leid, dass dies geschehen ist. Wir haben eine sehr hohe Messlatte für den Dienst an unserer Gemeinde gesetzt, und dieser Vorfall ist frustrierend und verstörend", sagte Strickler.
Es gibt keine Entschuldigung dafür, dass jemand immer noch schwache Passwörter verwendet oder Anmeldeinformationen auf mehreren Websites wiederverwendet. Wie Security Watch immer wieder sagte (egal ob es sich um LinkedIn, Twitter, Adobe, Evernote oder Dropbox handelt, um nur einige zu nennen), müssen wir sichere Passwörter verwenden und sicherstellen, dass die Passwörter eindeutig sind, damit ein Verstoß gegen die Richtlinien vorliegt Ein Standort wirkt sich nicht auf mehrere Konten aus und verwendet strengere Authentifizierungsmethoden, z. B. das Aktivieren der Zwei-Faktor-Authentifizierung oder die Verwendung eines Kennwort-Managers. Mit der Aufnahme von Kickstarter in die Liste gilt der gleiche Rat.
Was wurde gestohlen?
Für Kickstarter-Benutzer gibt es einige gute und schlechte Neuigkeiten. Die gute Nachricht ist, dass auf keine Kreditkartendaten zugegriffen wurde. Dies ist höchstwahrscheinlich darauf zurückzuführen, dass Kickstarter niemals Ihre Kreditkartendaten hat, da alle Zahlungsvorgänge von Amazon Payments und nicht von Kickstarter verarbeitet und gespeichert werden. Während Kickstarter die letzten vier Ziffern und Ablaufdaten für Kreditkarten speichert, die zur Finanzierung von Projekten außerhalb der USA verwendet wurden, wurden diese Informationen nicht verletzt, teilte das Unternehmen mit.
Die schlechte Nachricht ist, dass Angreifer in die Datenbank gelangt sind, die Benutzernamen, E-Mail-Adressen, Postanschriften, Telefonnummern und Passwörter enthält. Bisher scheinen zwei Konten betrügerisch verwendet worden zu sein. Kickstarter hat diese Konten bereits erneut gesichert und die Benutzer benachrichtigt.
Passwort-Sicherheit
Die Passwörter wurden verschlüsselt, was bedeutet, dass Angreifer einige Zeit und eine Menge Rechenressourcen benötigen würden, um sie zu knacken. Es scheint, dass einige der Passwörter mithilfe des SHA1-Algorithmus gesalzen und gehasht wurden, während die anderen die viel stärkere Verschlüsselung mit bcrypt verwendeten. Unabhängig davon, dass keine Verschlüsselung vollständig ausfallsicher ist und wenn man bedenkt, wie einfach es ist, leistungsstarke Maschinen auf Amazon Elastic Compute Cloud (EC2) oder anderen Cloud-Plattformen hochzufahren, kann man davon ausgehen, dass Ihr Passwort irgendwann geknackt wird. Sie sollten Ihr Passwort unbedingt sofort ändern.
Eine gute Nachricht für Kickstarter-Benutzer, die sich mit ihren Facebook-Konten anmelden: Ihre Facebook-Anmeldeinformationen bleiben sicher, da diese Informationen auf Facebook-Servern gespeichert werden. Kickstarter hat alle Token widerrufen, die Facebook-Anmeldungen ermöglichen. Wenn Sie sich also das nächste Mal anmelden, werden Sie aufgefordert, die Konten erneut manuell zu verknüpfen.
Kickstarter empfiehlt die Verwendung eines Passwort-Managers wie LastPass oder 1Password. Informieren Sie sich über alle von PCMag getesteten Passwort-Manager, einschließlich LastPass 3.0 und Dashlane 2.0, zwei Produkte, die mit unserer Editor's Choice-Auszeichnung ausgezeichnet wurden.
Was nun?
"Wir arbeiten eng mit den Strafverfolgungsbehörden zusammen und tun alles in unserer Macht stehende, um dies zu verhindern", sagte Strickley. Während es gut ist, dass Kickstarter alles tut, was es kann, sollten die Benutzer auch alles tun, um den Schaden im Falle eines weiteren Verstoßes so gering wie möglich zu halten.
Mit all diesen Verstößen wird immer deutlicher, dass Benutzer sicherheitsbewusster werden müssen. Verwenden Sie Kennwörter nicht über Websites hinweg erneut, auch wenn Sie sie für weniger wichtig halten oder der Ansicht sind, dass keine vertraulichen Informationen zu schützen sind. Passwörter müssen lang sein (mehr als acht Zeichen, wenn Sie sie verwalten können) und aus einer Mischung aus Zahlen, Satzzeichen und Groß- und Kleinschreibung bestehen. Erwägen Sie schließlich, die Zwei-Faktor-Authentifizierung zu aktivieren, wenn die Site die Funktion bietet, und prüfen Sie die Verwendung eines Kennwort-Managers.
"Seitdem haben wir unsere Sicherheitsverfahren und -systeme auf vielfältige Weise verbessert, und wir werden dies auch in den kommenden Wochen und Monaten tun", sagte Strickley.
