最近は毎週のように有名なサイトがハックされたというニュースを伝えねばならない。今回の被害者はKickstarterだ。
Kickstarterはブログ(とユーザー向けメール) でハッカーが同社のデータベースの一部に侵入したことを発表した。
良いニュースはクレジットカード情報は盗まれなかったことだ。また仮に盗まれたとしてもKickstarterはクレジットカード番号をフルに保存していないという。
それほどよろしくないニュースはというと、ハッカーがユーザー名、メールアドレス、メーリングリスト、電話番号、暗号化されたパスワードにアクセスしたことだ。パスワードが暗号化されていたことで多少救われる。しかしどんな暗号化も絶対に安全というものはないので、必ず パスワードを変更しておくことをおすすめする。
Kickstarterによるとハッカーの侵入は水曜の夜に捜査当局から教えられたのだという(どの捜査機関かは明らかにされていない)。Kickstarterはハッカーが利用した脆弱性を直ちに修正し、その後4日間何が起きたかを調査していたという。
アップデート: Kickstarterはいくつかの疑問についてアップデートを発表した。
- パスワードは2種類の方法で暗号化されていた。古い方式ではSHA-1プロトコルでハッシュ化され、ソルトされていた。新方式ではbcryptが用いられていた。
- 侵入を知ってから発表までに4日かかったのは状況を詳細に調査していたため。
- 2個のアカウントで不当な侵入の証拠が認められたが、直ちに是正された。
- Facebookアカウントを使ってKickstarterにログインしていた場合、FBアカウントの情報は一切漏えいしていない。Facebookのログイン・トークンはすべてKickstarter側でリセットされた。Facebookユーザーは再度接続を手動で許可する必要がある。
〔日本版:訳者はFacebookでログインしているが、Kickstarterからのメールには「われわれは用心のためにFacebookでのログイン情報をリセットした。ユーザー側での対応は必要ない」.とあり、事実いままでどおりKickstarterのトップページのログインボタンをクリックするだけでログインできた。〕
[原文へ]
(翻訳:滑川海彦 Facebook Google+)
