Le site Web populaire de crowdfunding Kickstarter a alerté ses clients samedi d'une violation de la sécurité des serveurs du site. Bien que rien n'indique que les pirates aient obtenu des informations de carte de crédit, le site révèle que certaines données de l'utilisateur ont effectivement été volées, notamment des noms d'utilisateur, des adresses électroniques, des adresses postales physiques, des numéros de téléphone et des mots de passe cryptés.
Mercredi soir, des responsables de l'application de la loi ont contacté Kickstarter pour nous avertir que des pirates informatiques avaient recherché et obtenu un accès non autorisé à certaines des données de nos clients. Après avoir appris cela, nous avons immédiatement fermé la brèche de sécurité et commencé à renforcer les mesures de sécurité dans l'ensemble du système Kickstarter.
Bien que les mots de passe obtenus par les pirates informatiques aient été chiffrés, il est toujours possible que la liste soit déchiffrée et accessible par des pirates informatiques avec suffisamment de temps et de puissance de calcul. Les mots de passe simples et courts sont particulièrement vulnérables à ces attaques dites de «force brute». Kickstarter recommande donc aux utilisateurs de changer immédiatement leurs mots de passe sur le site ainsi que sur tout autre site Web utilisant le même mot de passe.
En plus de son courrier électronique aux clients, Kickstarter a publié un article de blog détaillant l’atteinte et fournissant une brève FAQ, citée ci-dessous:
Comment les mots de passe ont-ils été cryptés?
Les mots de passe les plus anciens étaient uniquement salés et digérés avec SHA-1 à plusieurs reprises. Les mots de passe plus récents sont hachés avec bcrypt.
Kickstarter stocke-t-il les données de carte de crédit?
Kickstarter ne stocke pas les numéros de carte de crédit complets. Pour les promesses de dons effectuées en dehors des États-Unis, nous enregistrons les quatre derniers chiffres et les dates d'expiration des cartes de crédit. Aucune de ces données n'a été accédée.
Si Kickstarter a été informé mercredi soir, pourquoi les gens ont-ils été informés samedi?
Nous avons immédiatement fermé la brèche et informé tout le monde dès que nous avions mené une enquête approfondie sur la situation.
Kickstarter travaillera-t-il avec les deux personnes dont les comptes ont été compromis?
Oui. Nous les avons contactés et avons sécurisé leurs comptes.
J'utilise Facebook pour me connecter à Kickstarter. Mon identifiant est-il compromis?
Non. Par précaution, nous réinitialisons toutes les informations de connexion à Facebook. Les utilisateurs de Facebook peuvent simplement se reconnecter lorsqu'ils se rendent sur Kickstarter.
Les clients qui ne sont pas concernés par cet article peuvent contacter Kickstarter à l'adresse.
