人気のクラウドファンディングWebサイトKickstarterは、土曜日に顧客にサイトのサーバーのセキュリティ違反を警告しました。 ハッカーがクレジットカード情報を入手したことを示す兆候はありませんが、サイトでは、ユーザー名、メールアドレス、物理的な住所、電話番号、暗号化されたパスワードなど、一部のユーザーデータが実際に盗まれたことが明らかになりました。
水曜日の夜、法執行官はKickstarterに連絡し、ハッカーがお客様のデータの一部への不正アクセスを求めて取得したことを警告しました。 これを知ると、私たちはすぐにセキュリティ侵害を閉じ、キックスターターシステム全体のセキュリティ対策を強化し始めました。
ハッカーによって取得されたパスワードは暗号化されていましたが、十分な時間と計算能力を備えたハッカーによってリストが解読され、アクセスされる可能性があります。 短く単純なパスワードは、これらのいわゆる「ブルートフォース」攻撃に対して特に脆弱です。 そのため、Kickstarterは、ユーザーがサイトおよび同じパスワードが使用されている他のWebサイトのパスワードをすぐに変更することをお勧めします。
顧客へのメールに加えて、Kickstarterは違反の詳細を記したブログ投稿を公開し、以下に引用した簡単なFAQを提供しています。
パスワードはどのように暗号化されましたか?
古いパスワードは一意にソルト処理され、SHA-1で複数回消化されました。 最近のパスワードはbcryptでハッシュされます。
Kickstarterはクレジットカードデータを保存しますか?
Kickstarterは完全なクレジットカード番号を保存しません。 米国以外のプロジェクトへの誓約の場合、クレジットカードの最後の4桁と有効期限を保存します。 このデータはいずれもアクセスされていません。
Kickstarterが水曜日の夜に通知された場合、なぜ人々は土曜日に通知されたのですか?
状況を徹底的に調査した後、直ちに違反を閉鎖し、全員に通知しました。
Kickstarterは、アカウントが侵害された2人と連携しますか?
はい。 連絡を取り、アカウントを保護しました。
Facebookを使用してKickstarterにログインします。 ログインが危険にさらされていますか?
いいえ。予防措置として、すべてのFacebookログイン資格情報をリセットします。 Facebookユーザーは、Kickstarterにアクセスすると簡単に再接続できます。
ブログ投稿で取り上げられていないお客様は、のKickstarterにお問い合わせください。
