« Bien qu'aucune donnée liée à des cartes de crédits n'ait été touchée, des informations relatives à nos clients l'ont été », prévient-t-il. Au rang des informations concernées, on trouve des combinaisons de noms d'utilisateur, adresses email, numéros de téléphone ainsi que des mots de passe chiffrés, donc vraisemblablement protégés. Les mots de passe les plus anciens étaient chiffrés en SHA-1, après salage (ajout de caractères visant à compliquer le déchiffrement), tandis que les plus récents faisaient l'objet d'un chiffrement via l'algorithme bcrypt.
Kickstarter affirme n'avoir détecté d'activité anormale que sur deux comptes utilisateurs, dont les possesseurs ont déjà été avertis. « Aucun mot de passe en tant que tel n'a été révélé, néanmoins il est possible pour un assaillant muni d'une puissance de calcul suffisante de deviner et craquer un mot de passe chiffré, particulièrement s'il était faible ou évident », précise encore Strickler. Les adeptes de Kickstarter sont donc tout de même invités à modifier le mot de passe associé à leur compte.
Les paramètres d'authentification automatique via Facebook Connect ont par ailleurs été réinitialisés, ce qui signifie que les utilisateurs concernés devront à nouveau autoriser l'accès à leurs informations de profil.
« Nous sommes terriblement navrés par ce qui s'est passé. Nous plaçons la barre très haut quant à la façon dont nous servons notre communauté et cet incident est aussi frustrant que dérangeant. Nous avons depuis amélioré nos procédures et systèmes de sécurité de diverses façons, et nous continuerons à le faire dans les semaines et les mois à venir », assure encore Kickstarter.
Sur le sujet, voir aussi :
- Kickstarter dresse le bilan de son année 2013
- KickStarter, Ulule, MyMajorCompany... gros plan sur le financement participatif
- En vidéo ci-dessous : comment fonctionne le financement collaboratif ?
