Die Crowdfunding-Website Kickstarter löste über Nacht Befürchtungen vor einem möglichen Sicherheitsvorfall aus, nachdem das Unternehmen ohne vorherige Erklärung unerbetene E-Mails zum Zurücksetzen des Passworts an Millionen von Benutzern gesendet hatte.
Die von Tech eingesehenen E-Mails teilen den Benutzern mit, dass Kickstarter „seinen Anmeldeprozess vereinfacht“ und fordert die Benutzer auf, „ein neues Passwort für Ihr Kickstarter-Konto festzulegen“. Die E-Mails boten keine weitere Erklärung dafür, warum Kickstarter die Benutzer aufforderte, ihre Anmeldeinformationen zurückzusetzen, und es gibt keine Erwähnung des Massen-Passwort-Resets auf der Website oder in den sozialen Feeds von Kickstarter.
Als sie am Mittwoch erreicht wurde, teilte Kickstarter-Sprecherin Kate Bernyk Tech mit, dass das Unternehmen nicht verletzt wurde. Vielmehr „forderte es Benutzer dazu auf, ein Passwort zu erstellen, wenn sie noch keines festgelegt hatten“, wie beispielsweise diejenigen, die ein Konto nur mit ihrem Facebook-Login erstellten.
Bernyk sagte, dass 10 % der Benutzer oder etwa fünf Millionen Konten E-Mails zum Zurücksetzen des Passworts erhalten haben. Kickstarter habe derzeit 50 Millionen Nutzer, bestätigte der Sprecher.
Mehrere Kickstarter-Benutzer spekulierten, dass die E-Mails zum Zurücksetzen des Passworts selbst, obwohl legitim, ein Versuch von Angreifern waren, ihre Passwörter zu stehlen. Schließlich gilt es seit langem als Best Practice für Cybersicherheit, Personen nicht aufzufordern, auf passwortbezogene Links in unerwünschten E-Mails zu klicken, da dies ein Zeichen dafür sein kann, dass das Konto kompromittiert wurde, und eine gängige Taktik bei Phishing-Angriffen ist.
Datenschutzverletzung oder nicht, vielleicht wird das Feedback, das Kickstarter seit dem Versenden dieser E-Mails erhalten hat – einschließlich Cyber-versierter Benutzer, die schwören, nicht auf die „verdächtig aussehenden“ E-Mails zu klicken – Kickstarter und andere dazu bringen, diese Strategie in Zukunft zu überdenken.