クラウドファンディングサイトのKickstarterが、事前の説明なしに数百万人のユーザーに一方的にパスワードリセットメールを送信したことで、一夜にしてセキュリティインシデントの可能性に対する懸念が広がった。
TechCrunchが確認したメールには、Kickstarterが「ログインプロセスを簡素化する」と記載されており、「Kickstarterアカウントに新しいパスワードを設定する」よう促している。メールには、Kickstarterがユーザーに認証情報のリセットを求める理由について詳細な説明はなく、Kickstarterのウェブサイトやソーシャルフィードにも大量のパスワードリセットに関する言及はない。
水曜日にKickstarterの広報担当者ケイト・バーニク氏に連絡を取ったところ、同社は侵害を受けていないと述べた。むしろ、Facebookログインのみでアカウントを作成したユーザーなど、「まだパスワードを設定していないユーザーには、パスワードの作成を促していた」という。
ベルニク氏によると、ユーザーの10%にあたる約500万アカウントにパスワードリセットメールが送信されたという。Kickstarterの広報担当者は、現在5000万人のユーザーがいることを認めた。
Kickstarter のメールを報告してくる人が大勢いて、不正アクセスされた可能性があると示唆してきました。彼らのメッセージは額面通りに受け取っても構わないと思いますが、本当に見栄えが悪いですし、報告する正当な理由はまだ見当たりません。今のところ。 https://t.co/vbnP0dtsCI
— トロイ・ハント(@troyhunt)2022年8月17日
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Kickstarterユーザーの何人かは、パスワードリセットメール自体は正当なものだが、攻撃者がパスワードを盗もうとする試みではないかと推測している。そもそも、迷惑メール内のパスワード関連リンクをクリックするよう求めることは、アカウントが侵害されている兆候である可能性があり、フィッシング攻撃でよく使われる手口であるため、サイバーセキュリティのベストプラクティスとして長年考えられてきた。
データ漏洩であろうとなかろうと、Kickstarter がこれらのメールを送信して以来受け取ったフィードバック (サイバーに精通したユーザーが「怪しい」メールをクリックしないと誓うなど) により、Kickstarter や他の企業は今後この戦略を再考することになるかもしれない。
DigitalOceanは、Mailchimpの最新の侵害により顧客のメールアドレスが漏洩したと発表
トピック
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、Forbes、TechRadar、WIREDなどのメディアに10年以上寄稿し、テクノロジー業界で活躍していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
