今度はKickstarterがハックされる―メールアドレスなどのユーザー情報漏えい

最近は毎週のように有名なサイトがハックされたというニュースを伝えねばならない。今回の被害者はKickstarterだ。

Kickstarterはブログ(とユーザー向けメール) でハッカーが同社のデータベースの一部に侵入したことを発表した。

良いニュースはクレジットカード情報は盗まれなかったことだ。また仮に盗まれたとしてもKickstarterはクレジットカード番号をフルに保存していないという。

それほどよろしくないニュースはというと、ハッカーがユーザー名、メールアドレス、メーリングリスト、電話番号、暗号化されたパスワードにアクセスしたことだ。パスワードが暗号化されていたことで多少救われる。しかしどんな暗号化も絶対に安全というものはないので、必ず パスワードを変更しておくことをおすすめする。

Kickstarterによるとハッカーの侵入は水曜の夜に捜査当局から教えられたのだという(どの捜査機関かは明らかにされていない)。Kickstarterはハッカーが利用した脆弱性を直ちに修正し、その後4日間何が起きたかを調査していたという。

アップデート: Kickstarterはいくつかの疑問についてアップデートを発表した。

  • パスワードは2種類の方法で暗号化されていた。古い方式ではSHA-1プロトコルでハッシュ化され、ソルトされていた。新方式ではbcryptが用いられていた。
  • 侵入を知ってから発表までに4日かかったのは状況を詳細に調査していたため。
  • 2個のアカウントで不当な侵入の証拠が認められたが、直ちに是正された。
  • Facebookアカウントを使ってKickstarterにログインしていた場合、FBアカウントの情報は一切漏えいしていない。Facebookのログイン・トークンはすべてKickstarter側でリセットされた。Facebookユーザーは再度接続を手動で許可する必要がある。

〔日本版:訳者はFacebookでログインしているが、Kickstarterからのメールには「われわれは用心のためにFacebookでのログイン情報をリセットした。ユーザー側での対応は必要ない」.とあり、事実いままでどおりKickstarterのトップページのログインボタンをクリックするだけでログインできた。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。