Die Crowdfunding-Plattform Kickstarter ist Opfer einer Hacker-Attacke geworden, dies teilte Yancey Strickler, CEO des Unternehmens, auf dem offiziellen Firmen-Blog und via Email an alle Benutzer mit. Am Abend des 12. Februar haben amerikanische Strafverfolgungsbehörden die Firma über den Angriff informiert. Die verantwortliche Sicherheitslücke sei daraufhin umgehend geschlossen und entsprechende Untersuchungen eingeleitet worden, so Strickler.
Durch die Attacke haben die Kriminellen Zugriff auf Namen, Postanschriften, Email-Adressen und verschlüsselte Passwörter der registrierten Nutzer erhalten, Kreditkarteninformationen sind jedoch nicht betroffen. Ohnehin speichert Kickstarter nur die letzten vier Ziffern der Kartennummer, sowie deren Ablaufdatum für Projekte außerhalb der Vereinigten Staaten. Trotz der Verschlüsselung können die Passwörter – die entsprechenden Kenntnisse und Rechenkapazitäten vorausgesetzt – im Klartext wiederhergestellt werden, dies gilt insbesondere für kurze und einfache Schlüsselwörter. Es ist euch daher dringend geraten, eure Zugangsdaten zu ändern. Die hinterlegten Zugangsberechtigungen via Facebook-Account wurden sicherheitshalber zurückgesetzt, gespeichert wurden die entsprechenden Daten von vornherein nicht – diese liegen nur in den Datenbanken der sozialen Plattform vor. Laut Firmenauskunft gibt es derzeit nur für zwei Benutzerkonten Hinweise auf irreguläre Aktivitäten.
Am Ende der Erklärung entschuldigt sich Kickstarter für den Vorfall und versichert, dass die Schutzvorkehrungen bereits verbessert wurden und in den kommenden Wochen und Monaten weitere Maßnahmen geplant sind, damit sich so ein Vorfall nicht wiederholt. Wenn ihr Probleme, Fragen oder Bedenken habt, könnt ihr euch per Email an die Serviceabteilung für Kontosicherheit wenden.
Hat noch jemand die Email erstmal als Phishing-Email abgetan?
Nein, weil die News vor der e-mail kamen...
Ich hab die News aufgrund der Mail vorgeschlagen, nachdem ich diese genau durchgelesen und drüber nachgedacht habe. Sie kam mir nicht wie eine Phishing Mail vor, da ja keine Links etc. drin war. Daher hatte ich dann eher an eine Mail zur Rufschädigung gedacht. Ansonsten war der Inhalt ja plausibel. Aber so richtig Rufschädigend war es ja dann doch nicht, wenn Kickstarter wenigstens allen Kunden sofort Bescheid gibt und so detailliert darlegt, was passiert ist. IT-Systeme kann man einfach nicht 100% Sicher kriegen (siehe Chaos Computer Club Hack letzte Woche). Aber wenn etwas passiert ist, muss man das auch kommunizieren. Daher bin ich dann zum dem Schluss gekommen, dass es keine Phishing-Mail ist. Auch weil sehr viele unterschiedliche Email-Addressen für Dienste benutze, dadurch kann ich sehen ob jemand die weitergegeben hat etc. und die Mail wurde an die richtige zu Kickstarter gehörende Addresse geschickt. Und auf dem Firmenblog kam es ja dann auch.
Nein, Phising-Mails sehen etwas anders aus ;)
Und ich habe nichtmal mein Passwort geändert, oh Schreck!
Ja, in einer waschechten Phishing-Mail hätte das Unternehmen wohl höchst überzeugen "Kiffstarter" oder so geheißen.^^
Nee, ich hatte sie eigentlich gleich für real gehalten.
Hier, ich.
Fast täglich trudeln Phishingmails zu angeblich suspendierten, gefährdeten oder gesperrten Konten ein. Ich hab die Mail ungelesen gelöscht.
Zum Glück war das ein einzigartiges Passwort, aber meinen Kickstarter-Account habe ich gerade gelöscht.
Kleiner Schreibfehler in den Quellen: "Kickstarter-Block"
So klingt's aber auch lustig! ^^
Anmerkung: Wer die gleiche Mailadresse mit dem gleichen Passwort auch auf anderen Seiten verwendet muss es natürlich auch dort ändern.
Haben die auch das Passwort wenn man per Facebook Login sich dort eingeloggt hat?
Es wird doch immer mehr angeboten sich auf Webseiten per Facebook Login zu registrieren.
Muss dann nun das Facebook Passwort geändert werden?
nein, haben sie nicht, laut FAQ Update auf der KS Seite.
Ich habe den entsprechenden Absatz um diese Information ergänzt.
Verschlüsselte Passwörter? Gut das auf dem Blog steht was sie damit meinen:
----
How were passwords encrypted?
Older passwords were uniquely salted and digested with SHA-1 multiple times. More recent passwords are hashed with bcrypt.
----
Also Hash + Salz (und später dann bcrypt, auch wenn der Schwierigkeit Faktor nicht angegeben ist ...).
Ein Hash ist aber keine Verschlüsselung! Verschlüsselung => Klartext in Geheimtext welcher wieder in Klartext umgewandelt werden kann. Bei einem Hash wandelt man den Klartext in ein Ergebnis von dem man aber nicht wieder auf den Klartext kommt.
Wenn man wirklich Passwörter verschlüsselt muss der Schlüssel zum ver- und entschlüsseln ja auch auf den Servern liegen (sonst kann man keine neuen Passwörter erstellen oder sich einloggen...). Wenn das so wäre, ist davon auszugehen das der Schlüssel direkt mit abhanden kommt. Damit wären die Passwörter sofort* im Klartext beim Angreifer.
* Entschlüsseln mit Schlüssel geht schnell genug um von sofort zu reden.
Im Newsvorschlag hatte ich extra "gehashte" Passwörter geschrieben, wurde wohl leider falsch übernommen.
Ich habe das extra weggelassen. Das ist eine Gaming-Seite und kein IT-Magazin. Die wenigsten Leser werden mit Hash-Summen vertraut sein. Sie werden aber wissen, dass eine verschlüsselte Zeichenkette nicht mehr der originalen entspricht. Für das prinzipielle Verständnis ist diese ungenaue Formulierung ausreichend.
Irgendwie habe ich das Gefühl, dass die Meldungen mit den geknackten Passwörtern in letzter Zeit immer öfters vorkommen (BSI, Adobe, etc.).
Akte X-Melodiepfeiff...das ist bestimmt von den Herstellern der Passwortgeneratoren initiiert... :-)
I don't want to believe
Naja, passiert ist das glaube ich schon immer. Ist aber gut, dass inzwischen damit offen umgegangen wird, sonst hat man als User ja gar keine Chance.
Wenn digitale Downloads schon die unvermeidbare Zukunft sind, und absolute Sicherheit wohl gar nicht möglich ist, dann sind die alle miteinander hoffentlich so fair einem immer zu informieren wenn was mit unseren Daten passiert.
Ist ja inzwischen nix neues mehr, das irgendwann sämtliche Seiten im Internet gehackt werden/worden sind.
Hab mein Passwort sicherheitshalber geändert ...
Das habe ich in der Nacht auch gleich gemacht.
Hab die Mail auch bekommen.
Die wichtige Nachricht hier ist nicht das Kickstarter gehackt wurde, sondern dass Kickstarter seinen Mitgliedern DRINGEND rät, die Passwörter sofort zu ändern.
Wie man das besser macht, zeigt hier Gamerstar:
http://www.gamestar.de/hardware/news/internet/3032732/hackerangriff.html
Wenn auf Gamersglobal die Newstitel länger wären, dann hätte die Info auch Platz in der Newsüberschrift gehabt. Platz im Sinne von: lies die Info auf der Startseite, ohne dafür die News öffnen zu müssen.
"Wenn auf Gamersglobal die Newstitel länger wären, dann hätte die Info auch Platz in der Newsüberschrift gehabt. Platz im Sinne von: lies die Info auf der Startseite, ohne dafür die News öffnen zu müssen."
Naja, demnach braucht GG gar keine News mehr zu machen, sondern nur noch Twitter-Meldungen ;).
Also das ist aus der gestrigen E-Mail von Kickstarter :
"On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.
No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account. ..."
Ich denke schon das die Überschrift passt. Warum sollte ich ansonsten das Passwort ändern?
Eigentlich ein vorbildliches Verhalten und scheinbar hat man sich auch über die Sicherheit Gedanken gemacht, weswegen wohl keine Zahlungsinformationen kopiert wurden. Das Einzige was einen faden Beigeschmack hinterlässt ist, dass Kickstarter nicht selbst auf den Angriff aufmerksam wurde.
Ein hoch auf die NSA!;)
Also hatte die Überwachung auch mal was gutes.;)
Steht ja auch auf der Kickstarter-Seite. Ist also kein Phishing.
1 Tag nach meiner Erstanmeldung bei Kickstarter passiert sowas :-/ Das schafft Vertrauen.
Bei war es so mit dem PSN, gut es war in den ersten 2 Wochen und das als Konsolenneuling. ;)