Video: Beginilah Cara Pelaku Membobol Kartu Kredit Korbannya Dan Tips Aman untuk Mengantisipasiny4 (Desember 2024)
Kelelahan data pelanggaran diatur dan itu hanya Februari. Kickstarter adalah situs profil tinggi terbaru yang diretas.
Otoritas penegak hukum memberi tahu Kickstarter tentang pelanggaran pada 12 Februari, dan Kickstarter segera menutup kerentanan yang memungkinkan para penyerang melalui, Yancey Strickler, CEO Kickstarter, menulis di sebuah posting blog dan dalam email yang dikirimkan kepada pengguna. Perusahaan "menyelidiki secara menyeluruh situasi" selama empat hari terakhir sebelum memberitahu pengguna, dan tim telah mulai "memperkuat langkah-langkah keamanan" di seluruh infrastrukturnya, kata Strickler.
"Kami sangat menyesal bahwa ini terjadi. Kami menetapkan standar yang sangat tinggi untuk bagaimana kami melayani komunitas kami, dan kejadian ini membuat frustrasi dan mengecewakan, " kata Strickler.
Tidak ada alasan bagi siapa pun untuk masih menggunakan kata sandi yang lemah atau menggunakan kembali kredensial di beberapa situs. Seperti yang dikatakan Security Watch berkali-kali, (apakah kita berbicara tentang LinkedIn, Twitter, Adobe, Evernote, atau Dropbox, untuk beberapa nama), kita perlu menggunakan kata sandi yang kuat, pastikan kata sandi itu unik sehingga melanggar di satu situs tidak memengaruhi banyak akun, dan menggunakan metode otentikasi yang lebih kuat seperti menyalakan otentikasi dua faktor atau menggunakan pengelola kata sandi. Dengan Kickstarter bergabung dalam daftar, saran yang sama masih berlaku.
Apa yang Dicuri
Untuk pengguna Kickstarter, ada beberapa kabar baik dan kabar buruk. Berita baiknya adalah tidak ada data kartu kredit yang diakses. Itu kemungkinan besar karena Kickstarter tidak pernah memiliki data kartu kredit Anda sejak awal, karena semua transaksi pembayaran diproses dan disimpan oleh Pembayaran Amazon, bukan oleh Kickstarter. Sementara Kickstarter menyimpan empat digit terakhir dan tanggal kedaluwarsa untuk kartu kredit yang digunakan untuk mendanai proyek di luar Amerika Serikat, informasi ini tidak dilanggar, kata perusahaan itu.
Berita buruknya adalah penyerang masuk ke basis data yang berisi nama pengguna, alamat email, alamat surat, nomor telepon, dan kata sandi. Sejauh ini tampaknya dua akun mungkin telah digunakan secara curang. Kickstarter telah mengamankan kembali akun-akun itu dan memberi tahu para pengguna.
Keamanan Kata Sandi
Kata sandi dienkripsi, yang berarti perlu beberapa waktu bagi penyerang dan cukup banyak sumber daya komputasi untuk memecahkannya. Tampaknya beberapa kata sandi asin dan hash menggunakan algoritma SHA1, sementara yang lain menggunakan enkripsi bcrypt yang jauh lebih kuat. Apapun, tidak ada enkripsi yang benar-benar gagal dan mempertimbangkan betapa mudahnya untuk mem-spin mesin yang kuat di Amazon Elastic Compute Cloud (EC2) atau platform cloud lainnya, aman untuk mengasumsikan kata sandi Anda pada akhirnya akan di-crack. Anda harus segera mengganti kata sandi.
Sepotong kabar baik bagi pengguna Kickstarter yang menggunakan akun Facebook mereka untuk login: kredensial Facebook mereka tetap aman karena informasi itu disimpan di server Facebook. Kickstarter telah mencabut semua token yang memungkinkan login Facebook, jadi pada saat Anda mencoba masuk lagi, Anda akan diminta untuk menautkan kembali akun secara manual.
Kickstarter direkomendasikan menggunakan pengelola kata sandi seperti LastPass atau 1Password. Periksa semua pengelola kata sandi yang telah diulas PCMag, termasuk LastPass 3.0 dan Dashlane 2.0, dua produk yang menerima penunjukan Pilihan Editor kami.
Apa selanjutnya?
"Kami bekerja erat dengan penegakan hukum, dan kami melakukan segala daya kami untuk mencegah hal ini terjadi lagi, " kata Strickley. Meskipun ada baiknya Kickstarter melakukan semua yang dia bisa, pengguna juga harus melakukan segala yang mungkin untuk meminimalkan kerusakan jika terjadi pelanggaran lain.
Dengan semua pelanggaran ini, semakin jelas bahwa pengguna perlu menjadi lebih mengerti keamanan. Jangan menggunakan kembali kata sandi di seluruh situs, bahkan jika Anda menganggapnya kurang penting atau angka tidak ada informasi sensitif untuk dilindungi. Kata sandi harus panjang (lebih dari delapan karakter jika Anda dapat mengelolanya) dan rumit dengan campuran angka, tanda baca, dan huruf campuran. Akhirnya, pertimbangkan untuk mengaktifkan otentikasi dua faktor jika situs menawarkan fitur tersebut, dan coba gunakan pengelola kata sandi.
"Kami sejak itu memperbaiki prosedur dan sistem keamanan kami dengan berbagai cara, dan kami akan terus melakukannya dalam minggu-minggu dan bulan-bulan mendatang, " kata Strickley.