Kickstarterにハッキング、メールアドレスなど漏えい

CNET News staff  翻訳校正: 編集部2014年02月17日 10時43分
  • このエントリーをはてなブックマークに追加

 クラウドファンディングサイトのKickstarterは米国時間2月15日、ハッカーに攻撃されユーザー情報にアクセスされたと発表した。

 同社によると、クレジットカード情報はアクセスされなかったが、攻撃者はユーザー名、電子メールアドレス、郵送先住所、電話番号、および暗号化されたパスワードにアクセスしたという。

 「実際のパスワードは漏えいしなかったが、十分なコンピュータのスキルを持つ悪意のある人物なら、特に脆弱または分かりやすいパスワードの場合、推測して、暗号化されたパスワードを解読することができる」と同社はブログ投稿で述べている。さらに、「予防策として、Kickstarterのアカウントに新しいパスワードを設定することを強く推奨する。Kickstarterと同じパスワードを使っていたその他アカウントについても同様だ」としている。

 Kickstarterによると、同社は12日夜に漏えいについて捜査当局から連絡を受け、「直ちにセキュリティ侵害を遮断し、Kickstarterシステム全体のセキュリティ対策強化を開始した」という。

 同社は以下のFAQも掲載している。

 パスワードはどのように暗号化されていたのか?

 古いパスワードは、独自にソルトされ、SHA-1で複数回にわたりダイジェストされていた。より最近のパスワードはbcryptでハッシュされている。

 Kickstarterはクレジットカード情報を保存しているのか?

 Kickstarterはクレジットカード番号全体を保存してはいない。米国外のプロジェクトに対する資金提供については、当社は最後の4桁とクレジットカード有効期限を保存している。こうしたデータは一切、アクセスを受けていない。

 12日夜に通知されたのに、一般に知らせるのが15日になったのはなぜか?

 当社は侵害を遮断し、状況の詳しい調査が完了次第、皆さんに通知した。

 Kickstarterは、アカウントの侵害を受けた2人に対応するのか?

 はい。当社は2人と既に連絡を取り、そのアカウントを保護した。

 私はFacebookを利用してKickstarterにログインしている。私のログイン情報も侵害されたのか?

 いいえ。予防策として当社は全てのFacebookログイン認証情報をリセットした。Facebookユーザーは、Kickstarterを訪れる際に再び接続するだけでよい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加