1 min

De populaire crowdfundingdienst Kickstarter heeft bevestigd dat er een succesvolle hack op diens database heeft plaatsgevonden. Daarbij is wel data buitgemaakt, maar creditcardgegevens bleven volgens de dienst buiten schot.

Hackers hebben wel zaken zoals gebruikersnamen, e-mailadressen, telefoonnummers en wachtwoorden ontvreemd. De wachtwoorden zijn volgens Kickstarter wel gecodeerd en in eerste instantie dan ook onbruikbaar. Er is bij oudere accounts gebruikgemaakt van meervoudige SHA-1-hashes, bij nieuwere accounts gebruikte men bcrypt.

Kickstarter geeft aan dat de codering altijd te kraken is als er maar genoeg rekenkracht voor handen is. Daarom wordt door Kickstarter aangeraden om het wachtwoord van een account alvast uit voorzorg aan te passen. Dat geldt ook voor andere accounts waar hetzelfde wachtwoord is gebruikt.

De kwetsbaarheid die is misbruikt is volgens Kickstarter inmiddels weggewerkt. Gebruikers die via Facebook inloggen op Kickstarter zijn niet getroffen.