Inscrit à son tour sur le tableau de chasse des pirates informatiques, Kickstarter se déclare victime d’une intrusion dans ses serveurs et déplore des dommages collatéraux sur plus de 5 millions d’utilisateurs, invités à réinitialiser sans délai leur mot de passe.
La plate-forme de crowdfunding basée aux États-Unis assure qu’aucune information bancaire n’a été dérobée. Elle reconnaît toutefois que des noms d’utilisateurs, des numéros de téléphone ou encore des adresses mail et postales ont pu être aspirés lors de cette offensive. Les faits lui ont été rapportés dans la nuit du mercredi 12 au jeudi 13 février (heure française) par les autorités américaines.
La faille qui a permis ces « accès non autorisés » a été résorbée dans la foulée et « des mesures de sécurité supplémentaires » ont été adoptées, selon Yancey Strickler. Le CEO de Kickstarter a résumé la situation ce samedi dans un billet de blog reprenant les informations adressées en parallèle par e-mail aux quelque 5 millions d’utilisateurs concernés.
Sans s’attarder sur la nature des vulnérabilités exploitées et sur la technique d’assaut (probablement une injection SQL), le dirigeant rappelle que les pirates n’ont pu accéder aux mots de passe que sous forme chiffrée. Les plus anciens étaient protégés par un cryptage SHA-1 additionné d’un salage (insertion de caractères aléatoires). Les plus récents bénéficiaient d’une couche de protection complémentaire via l’algorithme bcrypt.
Pour autant, Yancey Strickler l’admet : « Il est possible pour une personne suffisamment expérimentée et disposant du matériel adéquat de craquer ces mots de passe, surtout s’ils sont faibles ou évidents à deviner« . Et d’ajouter : « Dans tous les cas, nous vous recommandons de modifier [au plus vite] votre mot de passe […] et éventuellement d’utiliser des gestionnaires comme 1Password et LastPass« .
Conséquence de cette alerte, les paramètres d’authentification automatique via Facebook Connect ont été réinitialisés. Aux dernières nouvelles, deux comptes ont effectivement été compromis. Kickstarter a dû traiter plus de 5000 demandes d’internautes… et préciser qu’aucune donnée bancaire n’est stockée sur sa plate-forme, excepté les quatre derniers chiffres et la date d’expiration des cartes de crédit pour les projets basés en dehors des Etats-Unis.
Le site, qui soufflera bientôt sa 5e bougie, s’est imposé comme l’une des institutions du financement participatif. Un total de 480 millions de dollars y a été injecté en 2013, par près de 3 millions d’investisseurs (« backers »).
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous le crowdfunding ?
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…