O site de financiamento coletivo Kickstarter confirmou neste último fim de semana que sofreu uma quebra de segurança. E embora números de cartões de crédito de usuários não tenham sido roubados, o serviço alertou que dados pessoais de alguns deles, como nomes, e-mails e senhas criptografadas, acabaram obtidos pelos crackers.

Pelo fato de as combinações estarem encriptadas no mínimo pela função SHA-1, o risco de os invasores conseguirem utilizá-las de fato é consideravelmente menor. No entanto, “é possível que uma pessoa mal-intencionada com poder computacional suficiente deduza e quebre uma senha protegida, particularmente uma fraca ou óbvia”, conforme alertou Yancey Strickler, CEO do Kickstarter, em um post no blog do serviço.

Justamente por essa possibilidade, a própria empresa recomenda que as senhas sejam trocadas o quanto antes, inclusive em serviços nos quais a pessoa utiliza a mesma palavra-chave. Assim, evita-se que o cracker que quebrou a segurança do site consiga prejudicar ainda mais uma vítima. O alerta, no entanto, não vale para usuários que se conectam à página usando o Facebook – eles estão seguros, já que as credenciais foram reiniciadas pelo site, e é preciso apenas fazer login novamente.

Aliás, além da troca de senhas, a companhia também recomenda o uso de ferramentas como o 1Password e o LastPass para gerenciar combinações de diferentes serviços. Os dois programas também geram sugestões de combinações mais seguras, que misturam números com letras e símbolos diversos. Não são infalíveis, mas garantem mais proteção do que um simples “1234”.

O Kickstarter foi avisado por autoridades sobre a invasão na última quarta-feira, mas precisou fechar a brecha e investigar antes de revelar o ocorrido aos usuários. Cerca de 5,9 milhões de pessoas colaboraram com projetos no site, e embora nem todos tenham sido afetados, como afirma a empresa, o total de vítimas ainda pode ser considerável.