Plus Noël approche, plus la sécurité des bases de données de sociétés spécialisées dans le divertissement des enfants pose question. Après VTech ou Hello Barbie, c’est au tour de Sanrio d’être montré du doigt. Si le nom de la société ne vous dit rien, sa licence vous parlera certainement plus : Hello Kitty.
Un chercheur, Chris Vickery, déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper, a trouvé une base de données du site sanriotown.com ouverte à tous. Cette base contient des données agrégées d’utilisateurs de plusieurs sites périphériques : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. En plus de la base de données primaire, deux serveurs de backup contenant des informations répliquées sont également concernés par la faille. Au total, 3,3 millions de comptes sont menacés par cette exposition, dont plusieurs appartiennent à des enfants.
Parmi les informations disponibles, figurent les noms des utilisateurs, leur adresse mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses. Les mots de passe sont chiffrés en SHA-1, explique le chercheur. Un protocole jugé insuffisamment sécurisé par les chercheurs.
Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires. Le hacker s’est pourtant abstenu de divulguer tous les détails pouvant aider des gens malintentionnés à compromettre les serveurs. Il conseille toutefois aux utilisateurs de changer rapidement leur mot de passe.
Qu’il s’agisse de VTech ou de Hello Kitty, le problème réside dans la mauvaise configuration de bases MongoDB. Chris Vickery a démontré la présence de cette faiblesse sur plusieurs sites : OkHello, une application de chat vidéo (2,6 millions de comptes) ; Slingo, un site de jeu en ligne (2,5 millions de comptes) ; iFit, une application de fitness (576 000 comptes) ; Vixlet, un réseau social (377 000 comptes), etc.
Un risque corroboré par John Matherly, créateur du moteur de recherche des objets connectés à Internet, Shodan.io. Ce spécialiste a scanné le web et a découvert au moins 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cybercriminels. John Matherly souligne par ailleurs que d’autres bases de données sont confrontées au même problème de configuration, comme Redis, CouchDB, Cassandra et Riak.
A lire aussi :
VTech et Hello Barbie : jouets connectés, enfants en danger
Piratage de VTech : des questions et des failles
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…