Kitle fonlaması web sitesi Kickstarter, şirketin önceden açıklama yapmadan milyonlarca kullanıcıya istenmeyen parola sıfırlama e-postaları göndermesinin ardından bir gecede olası bir güvenlik olayıyla ilgili korkuları ateşledi.
TechCrunch tarafından görülen e-postalar, kullanıcılara Kickstarter’ın “giriş sürecini basitleştirdiğini” söylüyor ve kullanıcıları “Kickstarter hesabınız için yeni bir şifre belirlemeye” teşvik ediyor. E-postalar, Kickstarter’ın neden kullanıcılardan kimlik bilgilerini sıfırlamalarını istediğine dair daha fazla açıklama yapmadı ve Kickstarter’ın web sitesinde veya sosyal yayınlarda toplu parola sıfırlamadan söz edilmiyor.
Çarşamba günü ulaşıldığında, Kickstarter sözcüsü Kate Bernyk TechCrunch’a şirketin ihlal edilmediğini söyledi. Bunun yerine, yalnızca Facebook oturum açma bilgilerini kullanarak bir hesap oluşturanlar gibi “kullanıcıları henüz bir parola belirlememişlerse parola oluşturmaya teşvik etmek”ti.
Bernyk, kullanıcıların %10’una veya yaklaşık beş milyon hesaba şifre sıfırlama e-postaları gönderildiğini söyledi. Sözcü, Kickstarter’ın şu anda 50 milyon kullanıcısı olduğunu doğruladı.
Birkaç Kickstarter kullanıcısı, parola sıfırlama e-postalarının meşru olmasına rağmen, saldırganların parolalarını çalma girişimi olduğunu öne sürdü. Ne de olsa, hesabın ele geçirildiğinin bir işareti olabileceği ve kimlik avı saldırılarında kullanılan yaygın bir taktik olduğu düşünüldüğünde, insanlardan istenmeyen e-postalarda şifreyle ilgili bağlantılara tıklamalarını istemekten kaçınmak uzun zamandır siber güvenlik için en iyi uygulama olarak kabul ediliyor.
Veri ihlali olsun ya da olmasın, belki de Kickstarter’ın bu e-postaları göndermesinden bu yana aldığı geri bildirimler – “şüpheli görünen” e-postalara tıklamamaya yemin eden siber bilgili kullanıcılar da dahil olmak üzere – Kickstarter ve diğerlerinin gelecekte bu stratejiyi yeniden düşündüğünü görecek.