Plus Noël approche, plus la sécurité des bases de données de sociétés spécialisées dans le divertissement des enfants pose question. Après VTech ou Hello Barbie, c’est au tour de Sanrio d’être montré du doigt. Si le nom de la société ne vous dit rien, sa licence vous parlera certainement plus : Hello Kitty.
Un chercheur, Chris Vickery, déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper, a trouvé une base de données du site sanriotown.com ouverte à tous. Cette base contient des données agrégées d’utilisateurs de plusieurs sites périphériques : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. En plus de la base de données primaire, deux serveurs de backup contenant des informations répliquées sont également concernés par la faille. Au total, 3,3 millions de comptes sont menacés par cette exposition, dont plusieurs appartiennent à des enfants.
Parmi les informations disponibles, figurent les noms des utilisateurs, leur adresse mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses. Les mots de passe sont chiffrés en SHA-1, explique le chercheur. Un protocole jugé insuffisamment sécurisé par les chercheurs.
Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires. Le hacker s’est pourtant abstenu de divulguer tous les détails pouvant aider des gens malintentionnés à compromettre les serveurs. Il conseille toutefois aux utilisateurs de changer rapidement leur mot de passe.
Qu’il s’agisse de VTech ou de Hello Kitty, le problème réside dans la mauvaise configuration de bases MongoDB. Chris Vickery a démontré la présence de cette faiblesse sur plusieurs sites : OkHello, une application de chat vidéo (2,6 millions de comptes) ; Slingo, un site de jeu en ligne (2,5 millions de comptes) ; iFit, une application de fitness (576 000 comptes) ; Vixlet, un réseau social (377 000 comptes), etc.
Un risque corroboré par John Matherly, créateur du moteur de recherche des objets connectés à Internet, Shodan.io. Ce spécialiste a scanné le web et a découvert au moins 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cybercriminels. John Matherly souligne par ailleurs que d’autres bases de données sont confrontées au même problème de configuration, comme Redis, CouchDB, Cassandra et Riak.
A lire aussi :
VTech et Hello Barbie : jouets connectés, enfants en danger
Piratage de VTech : des questions et des failles
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…