Kwaadwillenden hebben bij een hack van crowdfundingsite Kickstarter onder meer versleutelde wachtwoorden buitgemaakt. Omdat de wachtwoorden met krachtige computers kunnen worden gekraakt, raadt Kickstarter gebruikers aan om alle wachtwoorden te wijzigen.
Kickstarter had de wachtwoorden versleuteld met SHA-1 en vervolgens enkele keren gesalt en die beveiliging is niet genoeg om te voorkomen dat de wachtwoorden met krachtige computers en genoeg tijd alsnog kunnen worden achterhaald, waarschuwt Kickstarter op het eigen blog.
Het crowdfundbedrijf raadt gebruikers aan om hun wachtwoord te wijzigen bij de dienst zelf en bij alle andere sites en services waar ze dat zelfde wachtwoord gebruiken. Omdat de criminelen ook e-mailadressen en gebruikersnamen hebben buitgemaakt, zouden ze met die informatie op andere diensten kunnen inloggen.
Bij twee accounts is informatie uit de hack misbruikt. Kickstarter kwam erachter doordat het bedrijf op de hoogte is gesteld door autoriteiten. Dat gebeurde afgelopen woensdagnacht Nederlandse tijd. Na onderzoek besloot het bedrijf al zijn gebruikers op de hoogte te stellen. Facebook-logins en creditcardgegevens zijn niet buitgemaakt bij de hack.