今度はKickstarterがハックされる―メールアドレスなどのユーザー情報漏えい

次の記事

Google、音波とスマートフォンを利用したユニークなユーザー認証のSlickLoginを買収

最近は毎週のように有名なサイトがハックされたというニュースを伝えねばならない。今回の被害者はKickstarterだ。

Kickstarterはブログ(とユーザー向けメール) でハッカーが同社のデータベースの一部に侵入したことを発表した。

良いニュースはクレジットカード情報は盗まれなかったことだ。また仮に盗まれたとしてもKickstarterはクレジットカード番号をフルに保存していないという。

それほどよろしくないニュースはというと、ハッカーがユーザー名、メールアドレス、メーリングリスト、電話番号、暗号化されたパスワードにアクセスしたことだ。パスワードが暗号化されていたことで多少救われる。しかしどんな暗号化も絶対に安全というものはないので、必ず パスワードを変更しておくことをおすすめする。

Kickstarterによるとハッカーの侵入は水曜の夜に捜査当局から教えられたのだという(どの捜査機関かは明らかにされていない)。Kickstarterはハッカーが利用した脆弱性を直ちに修正し、その後4日間何が起きたかを調査していたという。

アップデート: Kickstarterはいくつかの疑問についてアップデートを発表した。

  • パスワードは2種類の方法で暗号化されていた。古い方式ではSHA-1プロトコルでハッシュ化され、ソルトされていた。新方式ではbcryptが用いられていた。
  • 侵入を知ってから発表までに4日かかったのは状況を詳細に調査していたため。
  • 2個のアカウントで不当な侵入の証拠が認められたが、直ちに是正された。
  • Facebookアカウントを使ってKickstarterにログインしていた場合、FBアカウントの情報は一切漏えいしていない。Facebookのログイン・トークンはすべてKickstarter側でリセットされた。Facebookユーザーは再度接続を手動で許可する必要がある。

〔日本版:訳者はFacebookでログインしているが、Kickstarterからのメールには「われわれは用心のためにFacebookでのログイン情報をリセットした。ユーザー側での対応は必要ない」.とあり、事実いままでどおりKickstarterのトップページのログインボタンをクリックするだけでログインできた。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+

blog comments powered by Disqus
フォロー

新しい投稿をメールで受信しましょう。

現在171人フォロワーがいます。