Kickstarter warnt: Angreifer entwenden Kundendaten, Passwörter sollten geändert werden

Marcel Am 16.02.2014 veröffentlicht Lesezeit etwa 1:36 Minuten

Kickstarter

Am gestrigen Abend gingen zahlreiche Mails des wohl größten Crowdsourcing-Plattform Kickstarter heraus, in denen man die eigenen Nutzer darüber aufgeklärte, dass es Angreifern scheinbar gelungen ist, sich Zutritt auf die Kickstarter-Server zu verschaffen. Dieser Einbruch fand bereits Anfang dieser Woche statt, Mittwoch wurde man von den Polizeibehörden darüber informiert und konnte die genutzte Sicherheitslücke umgehend schließen. Wie man betont, seien dabei jedoch keine eventuell hinterlegten Kreditkartendaten offengelegt worden, dafür jedoch konnten die Angreifer zahlreiche Daten der Nutzer wie Benutzernamen, E-Mail- und Postadressen, Telefonnummern und auch die Passwörter auslesen.

Die Passwörter liegen dabei zwar nur in verschlüsselter Form vor, dennoch warnt man hierbei natürlich ausdrücklich, dass diese unter Umständen zu entschlüsseln seien, da man ältere Passwörter noch mit Salt und SHA-1 gehasht hätte. Neuer Passwörter hingegen seien dank Bcrypt als sicher einzustufen, dennoch sollte man auch diese natürlich einmal vorsorglich ändern. Wer sich mittels Facebook-Login in Kickstarter einloggt, ist zumindest von der Passwort-Geschichte natürlich nicht betroffen. Klingt im O-Ton dann wie folgt:

On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers‘ data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.

No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account.

While no credit card data was accessed, some information about our customers was. Accessed information included usernames, email addresses, mailing addresses, phone numbers, and encrypted passwords. Actual passwords were not revealed, however it is possible for a malicious person with enough computing power to guess and crack an encrypted password, particularly a weak or obvious one.

Tja, egal ob Sony, Adobe und Co. – scheinbar ist kein Anbieter mit sensiblen Daten so richtig auf einen eventuellen Angriff vorbereitet, andererseits finden sich natürlich immer wieder neue Sicherheitslücken. Kreditkartendaten wurden wie erwähnt nicht entwendet, was auf der einen Seite sicherlich als „Glück im Unglück“ gewertet werden kann, andererseits sind aber auch die hinterlegten Daten, allen voran natürlich die E-Mail-Adresse, interessant genug. Mal sehen, ob dies nun für eine neue Spam-Welle sorgt, bei 3+ Millionen Nutzern kommt da schon ein recht dicker Batzen an möglichen E-Mails zusammen…

Artikel teilen

Kaufempfehlung*

  • Sony Xperia Z5 Smartphone (5,2 Zoll (13,2 cm) Touch-Display, 32 GB interner Speicher, Android 5.1) schwarz
  • Neu ab EUR 317,99, gebraucht schon ab EUR 197,70
  • Auf Amazon kaufen*