Sicurezza

Kickstarter bucato consiglia di resettare le password

Kickstarter ha diramato sul suo blog un comunicato nel quale informa gli utenti che mercoledì scorso la piattaforma è stata violata da alcuni hacker.

Purtroppo la breccia aperta dai malintenzionati nei sistemi della nota piattaforma di crowdfunding è stata piuttosto grave, in quanto sono stati trafugati i dati degli utenti registrati tra cui username, password, indirizzi e-mail e relative rubriche, numeri di telefono. Nel comunicato viene caldamente consigliato a tutti gli utenti registrati di cambiare password il più in fretta possibile.

Il post sul blog svela ulteriori dettagli: "Nessun dato delle carte di credito di alcun tipo è stato accessibile agli hacker. Non ci sono prove di attività non autorizzate se non per due singoli account di utenti Kickstarter" e prosegue: "Sebbene nessun dato sulle carte di credito sia stato trafugato, lo sono state alcune informazioni sui nostri clienti. Le informazioni rubate includono indirizzi e-mail, username, numeri di telefono e password criptate. Le password non sono visibili in chiaro, ma è possibile che persone che dispongano di grande potenza di calcolo possano de-criptarle, soprattutto le password più semplici ed ovvie."

Riusciranno i criminali informatici a tirar su un po' di soldi su Kickstarter?

Sembra che il sito di crowdfunding non si sia accorto della fuga di dati e che sia stata l'autorità di polizia a comunicargli l'accesso non autorizzato che è avvenuto il 12 Febbraio. L'utenza è quindi stata informata con vari giorni di ritardo, il che sicuramente pone un'ombra sulla qualità delle misure di sicurezza impiegate.

E comprensibile che il sito sia stato scandagliato per ricercare la falla e riparare il danno il più in fretta possibile cercando di dare migliori informazioni sull'evento ai clienti, ma non si capisce il perché non ci siano stati comunicati più tempestivi, ne' perché le password non siano state resettate in modo forzato per tutti gli utenti.

Il comunicato iniziale è stato poi aggiornato, con alcuni chiarimenti a seguito delle domande dell'utenza: sembra che le password, al contrario di quanto inizialmente dichiarato, fossero salvate tramite algoritmi "hashed", il che migliora la situazione in quanto è più difficile la decriptazione. Si legge infatti che "le password più vecchie erano state ripassate più volte con hashing tipo SHA-1. Password più recenti lo erano con bcrypt".

Nell'aggiornamento l'azienda si difende dalle accuse di negligenza, dichiarando che "Abbiamo immediatamente chiuso la falla ed avvisato tutti non appena abbiamo concluso le indagini sulla situazione".

Rimangono comunque delle preoccupazioni, soprattutto per gli utenti che si sono registrati al servizio usando il proprio account di Facebook, con Kickstarter che ha resettato tutte le credenziali di login al sito effettuate tramite le utenze del noto social network. Un motivo in più per usare password differenti (e complesse), magari diversificandole per ciascun servizio!