Crowdfunding-Plattform Kickstarter gehackt
Die Crowdfunding-Plattform Kickstarter wurde Opfer eines Hackerangriffs. Jenseits von Benutzernamen und Mail-Adressen griffen die Hacker auch auf verschlüsselte Passwörter zu.
- Gerald Himmelein
Bei einem Angriff auf die Crowdfunding-Plattform Kickstarter wurden Kundendaten kompromittiert. Dem Anschein nach wurden persönliche Daten aller Kunden abgegriffen, darunter deren Namen, Mail-Adressen, Postanschriften und Telefonnummern.
Die verschlüsselten Kennwörter wurden von den Angreifern ebenfalls ausgelesen. Kickstarter mag grundsätzlich nicht ausschließen, dass diese geknackt werden könnten. Allerdings versichert das Unternehmen, ältere Kennwörter seien verschlüsselt und durch ein kryptografisches "Salt" gesichert gewesen, neuere würden durch bcrypt-Hashes geschützt. Damit geht Kickstarter immerhin sorgsamer mit den Daten seiner Kunden um als Adobe. Der Grafikkkonzern hatte die Passwörter unzureichend verschlüsselt und damit im vergangenen Herbst die Login-Daten von mindestens 38 Millionen Anwendern aufs Spiel gesetzt.
Wer ein Konto bei Kickstarter hat, dem wird nahe gelegt, sein Kennwort umgehend zu ändern. Wer dasselbe Kennwort auch bei anderen Websites verwendet, sollte es auch dort ändern. Kickstarter-Teilnehmer, die sich mit ihrem Facebook-Login bei Kickstarter angemeldet haben, müssen sich bei ihrem nächsten Besuch der Crowdfunding-Site neu authentifizieren – die Sicherheit ihres Facebook-Logins sei durch den Hack allerdings nicht gefährdet.
Kickstarter will erst am Mittwoch durch Strafverfolgungsbehörden über den Hack erfahren haben. Daraufhin schlossen die Betreiber zuerst die Sicherheitslücken, über die sich die unbekannten Angreifer Zugriff auf das System verschafft hatten. Daraufhin habe man die Sicherheitsmaßnahmen im ganzen System verschärft, bevor das Unternehmen gestern nacht seine Kunden per E-Mail kontaktierte. Bisher seien nur zwei Fälle bekannt, in denen Benutzerdaten missbraucht wurden.
Kickstarter betont in seinem Blog, beim Angriff seien keine Kreditkartendaten kompromittiert worden. Die Plattform speichere grundsätzlich keine vollständigen Kreditkartennummern. Bei Beiträgen zu Projekten von Nicht-US-Bürgern halte man die letzten vier Stellen und das Ablaufdatum der Kreditkarte fest. Auf diese Daten hätten sich die Angreifer jedoch keinen Zugriff verschafft.
Kickstarter ist eine Plattform, die Kreativen die Möglichkeit bietet, für ihre Projekte um direkte finanzielle Unterstützung zu werben. Die Plattform wird unter anderem von Spiele-Entwicklern, Hardware-Designern und Künstlern eingesetzt. Die Website zählt derzeit 5,6 Millionen registrierte Benutzer.
Update 16.2.2014: Präzisierung der bei Kickstarter verwendeten Hash-Verfahren (ghi)
