Criminelen hebben onlangs toegang tot de database van de crowdfundingwebsite Kickstarter gekregen en daar allerlei gegevens van klanten gestolen, zo laat de website in een verklaring weten. Het gaat om gebruikersnamen, e-mailadressen, postadressen, telefoonnummers en gehashte wachtwoorden.
Er zouden geen creditcardgegevens zijn buitgemaakt en van slechts twee accounts zijn de gegevens misbruikt, aldus de verklaring. Kickstarter is een website waar gebruikers via crowdfunding geld voor allerlei projecten kunnen inzamelen. De website zelf heeft de aanval niet opgemerkt, maar werd door de politie gewaarschuwd. Na de melding werd het gat waardoor de aanvallers binnenkwamen gedicht, maar Kickstarter geeft geen details wat er precies is gebeurd.
Kickstarter waarschuwt verder dat een kwaadwillend iemand met voldoende rekenkracht de gehashte wachtwoorden kan kraken, zeker als er een zwak wachtwoord door de gebruiker is gekozen. Oudere wachtwoorden van klanten waren met het SHA-1-algoritme gehasht en van een unieke salt voorzien. Meer recente wachtwoorden zijn met bcrypt gehasht.
Een hash is een gecodeerde versie van het wachtwoord die in de database wordt opgeslagen. Dit voorkomt dat het wachtwoord van gebruikers in platte tekst in een database wordt bewaard. Als de website dan wordt gehackt, zou dit betekenen dat de aanvallers meteen alle wachtwoorden van de gebruikers hebben. Een hash moet dit voorkomen.
Door de toegenomen rekenkracht van computers en videokaarten en leeftijd van bepaalde hashing-algoritmes, is een hash alleen vaak niet meer voldoende. Zo wordt er al lange tijd gewaarschuwd om geen gebruik meer van het SHA-1-algoritme te maken. Gebruikers krijgen dan ook het advies van Kickstarter om hun wachtwoord te wijzigen. Tevens zegt de website dat het maatregelen heeft genomen om de beveiliging van het platform aan te scherpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.