A Kickstarter ki is küldött minderről egy biztonsági figyelmeztetést, amelyben elismerik a feltörés tényét, ebben azt állították, ezzel semmilyen hitelkártya adat nem került veszélybe. A bejelentést nem siették el túlzottan, hiszen csak szombaton közölték azt, pedig még szerdán történt maga az incidens. És természetesen ahogy ilyenkor szokás, azonnali jelszócserére buzdítják a felhasználókat. A cserénél érdemes valamilyen erős jelszót választani, erről már annyit beszéltünk, hogy nem ezúttal nem is térünk már ki rá részletesebben.
Azt zárójelben azért érdemes megjegyezni, ha a név, korábbi jelszó hash, levelezési cím és telefonszám kikerül, könnyen elképzelhető egy további olyan testre szabott és kifinomult célzott social engineering támadás is, amellyel éppen a mostani károsultakat igyekeznek majd megtéveszteni. Remélhetőleg nem leszünk tanúi olyannak, mint az Adobe-nál, ahol először 3 millió ellopott jelszót vallottak be, aztán jött 38 millió, végül beismerték, hogy forráskódok is a támadók kezére jutottak.
Ugrunk is a másik esetre, ami a Forbes-nál történt, ahol szintén vétlen felhasználók adatai kerültek ismeretlenek kezébe. Apró érdekesség, hogy Eddy Willems szerint a Syrian Electronic Army (SEA) mindössze egyetlen emberből áll, ám ezek szerint vagy nagyon hiperaktív az illető, vagy esetleg mégis többen lehetnek. Mindenesetre itt is késedelmeskedés volt az incidens bejelentésnél, emiatt aztán nyilvánosságra is hozták az ellopott jelszavakat, 1 millió meg is jelent egy kiszivárogtatott listán. A Kickstarterhez képest itt PHPass Portable segítségével készültek a jelszó hashek, és bár az eredetileg publikált weboldalról már nem érhető el, de torrentrről viszont letölthető a 66 megás állomány, ennek birtokában el is kezdődtek már a visszafejtések.
Nyilván itt is jön a szokásos remedy: azonnali jelszócsere, főleg ha korábban rövid és/vagy gyenge volt, illetve ha több helyen is ez szolgált a belépésre, de különben is. Ám mindezeken túl azt is érdemes felmérni egy pillantással, vajon tanultak-e valamit a júzerek az utóbbi években, változott-e érdemben a jelszóválasztás biztonsága. Ha csak a 2013-as adatokat nézzük, sajnos nem igazán kerültünk a siralmas besorolásnál feljebb, ami változás mégis történt, azt is leginkább csak a "password" és az "123456" helycseréje okozta az előző esztendő adataihoz képest. De ha a korábbi Adobe incidens kikerült elmés jelszavait vizsgáljuk: "adobeadobe" vagy "adobe1", sajnos itt is előjönnek a hasonló jelszóválasztási primitívségek, mint például az analóg "forbesforbes" illetve "forbes1".
Mivel mással is zárhatnánk, mint hogy a jelszó érték, vigyázzunk rá. Cseréljünk időnként magunktól is, ha pedig a szolgáltató belegyalogol ilyen betöréses pofonba, akkor pedig mindenképpen és azonnal végezzük el az igényesen.
