Vídeo: Suas SENHAS estão em VAZAMENTOS pela internet? Descubra! - Dica do Pato #01 (Novembro 2024)
A fadiga por violação de dados está chegando e é apenas fevereiro. O Kickstarter é o mais recente site de alto perfil a ser invadido.
As autoridades policiais informaram o Kickstarter sobre a violação em 12 de fevereiro, e o Kickstarter imediatamente fechou a vulnerabilidade que permitia os invasores, escreveu Yancey Strickler, CEO do Kickstarter, em um blog e em um email enviado aos usuários. A empresa "investigou minuciosamente a situação" nos últimos quatro dias antes de notificar os usuários, e a equipe já começou a "fortalecer as medidas de segurança" em toda a sua infraestrutura, disse Strickler.
"Lamentamos muito que isso tenha acontecido. Estabelecemos um nível muito alto de como servimos nossa comunidade, e esse incidente é frustrante e perturbador", disse Strickler.
Não há desculpa para alguém ainda estar usando senhas fracas ou reutilizando credenciais em vários sites. Como o Security Watch repetiu várias vezes (se estamos falando sobre LinkedIn, Twitter, Adobe, Evernote ou Dropbox, para citar alguns), precisamos usar senhas fortes, garantir que as senhas sejam únicas, para que uma violação no um site não afeta várias contas e usa métodos de autenticação mais fortes, como ativar a autenticação de dois fatores ou usar um gerenciador de senhas. Com o Kickstarter entrando na lista, o mesmo conselho ainda se aplica.
O que foi roubado
Para os usuários do Kickstarter, há boas e más notícias. A boa notícia é que nenhum dado do cartão de crédito foi acessado. Provavelmente, porque o Kickstarter nunca possui os dados do seu cartão de crédito, pois todas as transações de pagamento são processadas e armazenadas pelo Amazon Payments, não pelo Kickstarter. Embora o Kickstarter armazene os últimos quatro dígitos e as datas de vencimento dos cartões de crédito usados para financiar projetos fora dos Estados Unidos, essas informações não foram violadas, informou a empresa.
A má notícia é que os invasores chegaram ao banco de dados contendo nomes de usuário, endereços de email, endereços para correspondência, números de telefone e senhas. Até agora, parece que duas contas podem ter sido usadas de maneira fraudulenta. O Kickstarter já ressegurou essas contas e notificou os usuários.
Senha de Segurança
As senhas foram criptografadas, o que significa que os invasores levariam algum tempo e bastante recursos de computação para decifrá-las. Parece que algumas das senhas foram salgadas e hash usando o algoritmo SHA1, enquanto outras usaram a criptografia bcrypt muito mais forte. Independentemente disso, nenhuma criptografia é completamente sem falhas e, considerando o quão fácil é ativar máquinas poderosas no Amazon Elastic Compute Cloud (EC2) ou em outras plataformas na nuvem, é seguro assumir que sua senha será quebrada. Você deve absolutamente mudar sua senha imediatamente.
Uma boa notícia para os usuários do Kickstarter que usam suas contas do Facebook para fazer login: suas credenciais no Facebook permanecem seguras, pois essas informações são armazenadas nos servidores do Facebook. O Kickstarter revogou todos os tokens que permitem logins no Facebook. Portanto, na próxima vez que você tentar fazer login, será solicitado que você vincule manualmente as contas novamente.
O Kickstarter recomendou o uso de um gerenciador de senhas como LastPass ou 1Password. Confira todos os gerenciadores de senhas que a PCMag analisou, incluindo o LastPass 3.0 e o Dashlane 2.0, dois produtos que receberam a designação Editor's Choice.
Qual o proximo?
"Estamos trabalhando em estreita colaboração com a aplicação da lei e estamos fazendo tudo ao nosso alcance para impedir que isso aconteça novamente", disse Strickley. Embora seja bom que o Kickstarter esteja fazendo todo o possível, os usuários também devem fazer todo o possível para minimizar os danos em caso de outra violação.
Com todas essas violações, fica cada vez mais claro que os usuários precisam se tornar mais experientes em segurança. Não reutilize senhas em sites, mesmo se você as considerar menos importantes ou se não houver informações confidenciais a serem protegidas. As senhas precisam ser longas (mais de oito caracteres, se você puder gerenciá-las) e complexas com uma mistura de números, sinais de pontuação e letras maiúsculas. Por fim, considere ativar a autenticação de dois fatores, se o site oferecer o recurso, e use um gerenciador de senhas.
"Desde então, aprimoramos nossos procedimentos e sistemas de segurança de várias maneiras, e continuaremos a fazê-lo nas próximas semanas e meses", disse Strickley.