クラウドファンディングの米Kickstarterは現地時間2014年2月16日、同社がセキュリティ侵害を受けたことを明らかにした。一部ユーザー情報が流出したが、クレジットカード情報は無事だったとしている。
Kickstarterは2月12日に捜査当局から連絡を受け、不正アクセスがあったことを認識した。同社はただちに攻撃に利用された脆弱性を修復し、調査を開始した。不正侵入を知ってから発表まで数日かかっていることについては「詳細な調査を行っていたため」と説明している。
同社によれば、2件のアカウントに対する未承認アクセスの痕跡が見つかった。すでにこれらアカウントは修正されている。
流出したユーザー情報には、ユーザー名、パスワード、電子メールアドレス、住所、電話番号などが含まれている。パスワードは暗号化されているが、「大規模な演算能力を備える悪意を持った者なら、特に脆弱なパスワードは解読できる可能性がある」として、パスワードの再設定をユーザーに強く勧めている。
Facebookアカウントを通じてログインしている場合、Facebookアカウント情報は不正アクセスされていないが、用心のためKickstarter側でログイン情報をリセットしたため、次回ログイン時に再度接続手続きを行う必要がある。
KickstarterのYancey Strickler最高経営責任者(CEO)は「今回発生した事件について心からお詫びする。当社は現在捜査当局と密に協力しており、再発防止に向けて尽力している」と述べた。
米Wall Street Journalは、クレジットカード情報が無事でも、電子メールアドレスなどの個人情報が攻撃者の手に入れば、より巧妙なフィッシング攻撃に使われる可能性があるため懸念が残ると指摘するセキュリティ専門家の意見を伝えている。なお米国では今年に入ってから米Snapchatや米Targetなど、大規模な顧客情報流出が相次いで発生している(関連記事1:Snapchat、「Find Friends」機能の問題に対処したアップデートをリリース/関連記事2:米司法省、米小売大手Targetの大量顧客情報流出を捜査中と公式発表)。
[発表資料へ]
