3,3 millions de comptes Hello Kitty compromis

Un chercheur en sécurité a déniché une faille dans une base de données MongoDB utilisée par plusieurs sites liés au petit chaton, Hello Kitty. Plus de 3 millions de comptes sont compromis, dont plusieurs liés à des enfants.

Plus Noël approche, plus la sécurité des bases de données de sociétés spécialisées dans le divertissement des enfants pose question. Après VTech ou Hello Barbie, c’est au tour de Sanrio d’être montré du doigt. Si le nom de la société ne vous dit rien, sa licence vous parlera certainement plus : Hello Kitty.

Un chercheur, Chris Vickery, déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper, a trouvé une base de données du site sanriotown.com ouverte à tous. Cette base contient des données agrégées d’utilisateurs de plusieurs sites périphériques : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. En plus de la base de données primaire, deux serveurs de backup contenant des informations répliquées sont également concernés par la faille. Au total, 3,3 millions de comptes sont menacés par cette exposition, dont plusieurs appartiennent à des enfants.

Parmi les informations disponibles, figurent les noms des utilisateurs, leur adresse mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses. Les mots de passe sont chiffrés en SHA-1, explique le chercheur. Un protocole jugé insuffisamment sécurisé par les chercheurs.

Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires. Le hacker s’est pourtant abstenu de divulguer tous les détails pouvant aider des gens malintentionnés à compromettre les serveurs. Il conseille toutefois aux utilisateurs de changer rapidement leur mot de passe.

Mauvaise configuration des bases MongoDB

Qu’il s’agisse de VTech ou de Hello Kitty, le problème réside dans la mauvaise configuration de bases MongoDB. Chris Vickery a démontré la présence de cette faiblesse sur plusieurs sites : OkHello, une application de chat vidéo (2,6 millions de comptes) ; Slingo, un site de jeu en ligne (2,5 millions de comptes) ; iFit, une application de fitness (576 000 comptes) ; Vixlet, un réseau social (377 000 comptes), etc.

Un risque corroboré par John Matherly, créateur du moteur de recherche des objets connectés à Internet, Shodan.io. Ce spécialiste a scanné le web et a découvert au moins 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cybercriminels. John Matherly souligne par ailleurs que d’autres bases de données sont confrontées au même problème de configuration, comme Redis, CouchDB, Cassandra et Riak.

A lire aussi :

VTech et Hello Barbie : jouets connectés, enfants en danger
Piratage de VTech : des questions et des failles

Crédit Photo  : Gary718-Shutterstock