Inscrit à son tour sur le tableau de chasse des pirates informatiques, Kickstarter se déclare victime d’une intrusion dans ses serveurs et déplore des dommages collatéraux sur plus de 5 millions d’utilisateurs, invités à réinitialiser sans délai leur mot de passe.
La plate-forme de crowdfunding basée aux États-Unis assure qu’aucune information bancaire n’a été dérobée. Elle reconnaît toutefois que des noms d’utilisateurs, des numéros de téléphone ou encore des adresses mail et postales ont pu être aspirés lors de cette offensive. Les faits lui ont été rapportés dans la nuit du mercredi 12 au jeudi 13 février (heure française) par les autorités américaines.
La faille qui a permis ces « accès non autorisés » a été résorbée dans la foulée et « des mesures de sécurité supplémentaires » ont été adoptées, selon Yancey Strickler. Le CEO de Kickstarter a résumé la situation ce samedi dans un billet de blog reprenant les informations adressées en parallèle par e-mail aux quelque 5 millions d’utilisateurs concernés.
Sans s’attarder sur la nature des vulnérabilités exploitées et sur la technique d’assaut (probablement une injection SQL), le dirigeant rappelle que les pirates n’ont pu accéder aux mots de passe que sous forme chiffrée. Les plus anciens étaient protégés par un cryptage SHA-1 additionné d’un salage (insertion de caractères aléatoires). Les plus récents bénéficiaient d’une couche de protection complémentaire via l’algorithme bcrypt.
Pour autant, Yancey Strickler l’admet : « Il est possible pour une personne suffisamment expérimentée et disposant du matériel adéquat de craquer ces mots de passe, surtout s’ils sont faibles ou évidents à deviner« . Et d’ajouter : « Dans tous les cas, nous vous recommandons de modifier [au plus vite] votre mot de passe […] et éventuellement d’utiliser des gestionnaires comme 1Password et LastPass« .
Conséquence de cette alerte, les paramètres d’authentification automatique via Facebook Connect ont été réinitialisés. Aux dernières nouvelles, deux comptes ont effectivement été compromis. Kickstarter a dû traiter plus de 5000 demandes d’internautes… et préciser qu’aucune donnée bancaire n’est stockée sur sa plate-forme, excepté les quatre derniers chiffres et la date d’expiration des cartes de crédit pour les projets basés en dehors des Etats-Unis.
Le site, qui soufflera bientôt sa 5e bougie, s’est imposé comme l’une des institutions du financement participatif. Un total de 480 millions de dollars y a été injecté en 2013, par près de 3 millions d’investisseurs (« backers »).
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous le crowdfunding ?
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…