Kickstarter informerade i sin blogg om en attack som gjordes i förra onsdagen. Hackers nåde användarnamn, e-postadresser, telefonnummer, adressadresser och krypterade lösenord. Lyckligtvis läcktes inga kreditkortsuppgifter.
Kickstarter besvarade några frågor om denna incident:
- Hur krypterades lösenord? Äldre lösenord var unikt saltade och smälte med SHA-1 flera gånger. Nyare lösenord är hashed med bcrypt.
- Kickstarter lagrar kreditkortsdata? Kickstarter lagrar inte hela kreditkortsnummer. För löften till projekt utanför USA lagrar vi de sista fyra siffrorna och utgångsdatum för kreditkort. Ingen av dessa uppgifter kunde på något sätt nås.
- Om Kickstarter meddelades onsdagskväll varför varför folk anmäldes på lördag? Vi stängde omedelbart överträdelsen och meddelade alla så snart vi hade grundligt undersökt situationen.
- Kommer Kickstarter att arbeta med de två personer vars konton har äventyras? Ja. Vi har nått ut till dem och har säkrat sina konton.
- Jag använder Facebook för att logga in på Kickstarter. Är min inloggning äventyrad? Nej. Som en försiktighet återställer vi alla inloggningsuppgifter för Facebook. Facebook-användare kan helt enkelt återansluta när de kommer till Kickstarter.