ソーシャル資金調達サービス「Kickstarter」は5月13日、ホームページへのプロジェクト表示に使われているAPIのバグが原因で、未発表プロジェクトに関する情報がアクセス可能な状態になっていたことを明らかにした。
Kickstarterのブログによると、バグはプロジェクトを表示するためにKickstarter内部で使われているプライベートAPIに存在していた。このAPIを利用すれば、未発表プロジェクトの概要説明、目標、期間、報酬、ユーザー名といった情報にアクセスできてしまう状態だったという。ただし、アカウント情報や決済情報が流出することなはかったと強調している。
バグは4月24日のホームページ刷新に伴って発生し、米紙Wall Street Journal(WSJ)の取材を受けて対処した5月11日まで存在していたという。
WSJでは、問題のAPIを使って約7万7000のプロジェクト情報を入手できたと伝えている。一方、Kickstarterが調べた結果、同紙からのアクセスを除くと、バグが存在していた3週間の間に計48の未発表プロジェクトにアクセスされていたことが分かったとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR