众筹网站Kickstarter在公司未经事先解释向数百万用户发送未经请求的密码重置电子邮件后,一夜之间引发了对可能发生安全事件的担忧。
TechCrunch 看到的这些电子邮件告诉用户,Kickstarter 正在“简化其登录过程”,并敦促用户“为你的 Kickstarter 帐户设置一个新密码”。这些电子邮件没有进一步解释为什么 Kickstarter 要求用户重置他们的凭据,也没有提到 Kickstarter 的网站或社交订阅源上的大规模密码重置。
周三到达时,Kickstarter 发言人 Kate Bernyk 告诉 TechCrunch,该公司没有遭到破坏。相反,它是“促使用户在尚未设置密码的情况下创建密码”,例如仅使用 Facebook 登录创建帐户的用户。
伯尼克说,有 10% 的用户,即大约 500 万个账户,收到了密码重置电子邮件。发言人证实,Kickstarter 目前有 5000 万用户。
我有很多人向我标记了这些@Kickstarter电子邮件,并暗示它们可能已被破坏。我怀疑你可以从表面上理解他们的信息,但这是一个*非常*糟糕的外观,我还没有看到任何好的理由这样做。曾经。 https://t.co/vbnP0dtsCI
— 特洛伊亨特 (@troyhunt) 2022 年 8 月 17 日
一些 Kickstarter 用户推测,密码重置电子邮件本身虽然是合法的,但却是攻击者企图窃取他们的密码。毕竟,避免要求人们点击未经请求的电子邮件中与密码相关的链接一直被认为是网络安全的最佳做法,因为这可能表明该帐户已被盗,并且是网络钓鱼攻击中常用的策略。
不管数据泄露与否,Kickstarter 自发送这些电子邮件以来收到的反馈——包括发誓不点击“可疑”电子邮件的精通网络的用户——可能会让 Kickstarter 和其他人在未来重新考虑这一策略。
原文: https://techcrunch.com/2022/08/17/kickstarter-password-reset/