Kickstarter informerede i deres blog om et angreb, der blev lavet i sidste onsdag. Hackere har fået adgang til brugernavne, e-mailadresser, telefonnumre, postadresser og krypterede adgangskoder. Heldigvis blev der ikke lækket kreditkortoplysninger.
Kickstarter besvarede et par spørgsmål om denne hændelse:
- Hvordan blev kodeord krypteret? Ældre adgangskoder blev entydigt saltet og fordøjet med SHA-1 flere gange. Nyere adgangskoder er hashed med bcrypt.
- Opbevarer Kickstarter kreditkortdata? Kickstarter gemmer ikke hele kreditkortnumre. For løfter til projekter uden for USA gemmer vi de sidste fire cifre og udløbsdatoer for kreditkort. Ingen af disse data blev på nogen måde fået adgang.
- Hvis Kickstarter blev meddelt onsdag aften, hvorfor blev folk underrettet om lørdag? Vi afsluttede straks bruddet og meddelte alle, så snart vi havde grundigt undersøgt situationen.
- Vil Kickstarter arbejde med de to personer, hvis konti er blevet kompromitteret? Ja. Vi har nået ud til dem og har sikret deres konti.
- Jeg bruger Facebook til at logge ind på Kickstarter. Er mit login kompromitteret? Nej. Som en sikkerhedsforanstaltning nulstiller vi alle Facebook-loginoplysninger. Facebook-brugere kan simpelthen genoprette forbindelse, når de kommer til Kickstarter.