Hello Kitty : une fuite de 3,3 millions de comptes sur la base de données

Une fuite sur la base de donnée de sanriotown.com, la communauté officielle en ligne d’Hello Kitty et d’autres personnages de Sanrio, a été découverte par le chercheur Chris Vickery. La base de données contient 3,3 millions de comptes et elle est associée à de nombreux portails de la marque Hello Kitty.

Une grande négligence sur la sécurisation des bases de données Hello Kitty

La fuite expose le prénom, le nom, la date de naissance (chiffré, mais facilement déchiffrable selon Vickery), le genre, le pays, les adresses mails, des Hashes de mots de passe en SHA-1, les questions d’indice sur le mot de passe, leurs réponses correspondantes et d’autres données liées au site Hello Kitty.

Vickery a également noté que les comptes enregistrés sur les portails des fans suivants sont aussi touchés par cette fuite : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. En plus de la base de données principale d’Hello Kitty, on a aussi découvert 2 serveurs de sauvegarde contenant des données stockées en miroir qui était affecté. La première fuite date du 22 novembre 2015. Sanrio et le FAI ont étaient notifiés de la fuite de la base de données. Le FAI a juste envoyé un mail automatique informant qu’il est courant de la fuite, mais il n’a pas donné plus de détails.

Des informations compromises sur les enfants

La marque Hello Kitty est l’une des plus populaires au monde que ce soit chez les adultes ou enfants. Et le problème immédiat est que la base de données contient des informations personnelles sur les enfants. La récente brèche de données de Vtech a compromis 11,6 millions de personnes dont 6,4 millions étaient des enfants. Si vous ou vos enfants êtes inscrits sur sanriotown.com ou les noms de domaine associés, on recommande de ne pas utiliser le même mot de passe sur d’autres plateformes critiques.

Dans le même temps, vous devez changer immédiatement tous vos mots de passe liés à des plateformes Hello Kitty. La même chose est valable pour les questions et les réponses liées à la restauration du mot de passe. Et si l’option est disponible, utilisez la double authentification, car elle est la meilleure solution pour récupérer rapidement un compte piraté.

Dans les brèches de données comme celles d’Hello Kitty, les informations personnelles des adultes sont déjà un gros problème, mais c’est une catastrophe si ce sont des informations d’enfants. On ne peut pas détecter les fraudes pendant des années, car les parents surveillent très peu les comptes de leur enfant. Même s’il n’y a pas d’informations financières, le risque d’usurpation d’identité est bien présent.

Chris Vikery a exposé des brèches de donnée sur 20 millions de comptes en une semaine

Le chercheur Chris Vickery a fait la une des médias cette semaine. Il a exposé les brèches de données sur MacKeeper, application de sécurité sur Mac (13 millions de comptes), OkHello, application de chat vidéo (2,6 millions de comptes), Slingo, jeu de site en ligne (2,5 millions de comptes), iFit, application de Fitness (576 000 comptes), Vixlet, réseau social (377 000 comptes), California Virtual Academies, réseau d’écoles en ligne (74 000 comptes) et Hzone, application de rencontre pour les patients du VIH (5 027 comptes).

Dans toutes ces brèches, il y avait une mauvaise configuration de la base de données MongoDB. Après les rapports de Vickery, Chris Matherly, le propriétaire de Shodan, un moteur de recherche pour les appareils sur l’internet des objets, a publié un rapport que 2 ans après sa première recherche, il y avait encore près de 35 000 bases de données MongoDB qui étaient mal configurées avec une fuite potentielle de 650 téraoctets de données.

Source : CSO Online

---

Mes livres

Le Basilic de Roko	Mon parcours de rédacteur web	Science corrompue et servile	Nous, Tueurs en série