Kickstarterにハッキング、メールアドレスなど漏えい

　クラウドファンディングサイトのKickstarterは米国時間2月15日、ハッカーに攻撃されユーザー情報にアクセスされたと発表した。

　同社によると、クレジットカード情報はアクセスされなかったが、攻撃者はユーザー名、電子メールアドレス、郵送先住所、電話番号、および暗号化されたパスワードにアクセスしたという。

空中で撮影できる超小型飛行ロボット「Pocket Drone」、Kickstarterで注目

　「実際のパスワードは漏えいしなかったが、十分なコンピュータのスキルを持つ悪意のある人物なら、特に脆弱または分かりやすいパスワードの場合、推測して、暗号化されたパスワードを解読することができる」と同社はブログ投稿で述べている。さらに、「予防策として、Kickstarterのアカウントに新しいパスワードを設定することを強く推奨する。Kickstarterと同じパスワードを使っていたその他アカウントについても同様だ」としている。

　Kickstarterによると、同社は12日夜に漏えいについて捜査当局から連絡を受け、「直ちにセキュリティ侵害を遮断し、Kickstarterシステム全体のセキュリティ対策強化を開始した」という。

　同社は以下のFAQも掲載している。

　パスワードはどのように暗号化されていたのか？

　古いパスワードは、独自にソルトされ、SHA-1で複数回にわたりダイジェストされていた。より最近のパスワードはbcryptでハッシュされている。

　Kickstarterはクレジットカード情報を保存しているのか？

　Kickstarterはクレジットカード番号全体を保存してはいない。米国外のプロジェクトに対する資金提供については、当社は最後の4桁とクレジットカード有効期限を保存している。こうしたデータは一切、アクセスを受けていない。

　12日夜に通知されたのに、一般に知らせるのが15日になったのはなぜか？

　当社は侵害を遮断し、状況の詳しい調査が完了次第、皆さんに通知した。

　Kickstarterは、アカウントの侵害を受けた2人に対応するのか？

　はい。当社は2人と既に連絡を取り、そのアカウントを保護した。

　私はFacebookを利用してKickstarterにログインしている。私のログイン情報も侵害されたのか？

　いいえ。予防策として当社は全てのFacebookログイン認証情報をリセットした。Facebookユーザーは、Kickstarterを訪れる際に再び接続するだけでよい。