Alle brugere på crowdfunding-tjenesten Kickstarter opfordres nu til at skifte deres kodeord, efter to Kickstarter-kunder er blevet kompromitteret i et hackerangreb. Det oplyser Kickstarter.
Kickstarter blev gjort opmærksom på indbruddet af politiet, og efterfølgende har Kickstarter valgt at advare alle brugerne af tjenesten. Ifølge Kickstarter er der ikke stjålet kreditkortoplysninger, men derimod brugernavne, e-mailadresser og telefonnumre.
Hackerne har også fået fat i adgangskoderne, som dog er krypteret med flere gennemkørsler gennem hash-algoritmen SHA-1 med unikke salt-værdier. Kickstarter er for nylig skiftet til hashing af kodeord med bcrypt, så nye brugere skulle være endnu bedre sikret.
Der er dog mulighed for, at især dårlige kodeord kan knækkes ved hjælp af brute force ud fra lister over populære adgangskoder.
Det var eksempelvis tilfældet i et andet hackerangreb, som blev afsløret i løbet af weekenden hos Forbes.com, skriver sikkerhedsfirmaet Sophos i et blogindlæg.
Her var cirka én million brugeres kodeord blevet stjålet. Kodeordene hos Forbes.com var krypteret ved hjælp af PHPass Portable, som bygger på den usikre MD5 hash-algoritme, men dog kører hvert kodeord gennem algoritmen 8.193 gange ifølge Sophos.
Sophos fremhæver dog en mulig positiv nyhed ud fra de lækkede kodeord fra Forbes.com. Sammenligner man brugerne, som havde registreret sig før 2012, med dem der havde registreret sig senere, var der væsentligt færre, som havde valgt et af de 100 almindeligste kodeord, som Sophos forsøgte sig med.
Leave a Reply