Plus Noël approche, plus la sécurité des bases de données de sociétés spécialisées dans le divertissement des enfants pose question. Après VTech ou Hello Barbie, c’est au tour de Sanrio d’être montré du doigt. Si le nom de la société ne vous dit rien, sa licence vous parlera certainement plus : Hello Kitty.
Un chercheur, Chris Vickery, déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper, a trouvé une base de données du site sanriotown.com ouverte à tous. Cette base contient des données agrégées d’utilisateurs de plusieurs sites périphériques : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. En plus de la base de données primaire, deux serveurs de backup contenant des informations répliquées sont également concernés par la faille. Au total, 3,3 millions de comptes sont menacés par cette exposition, dont plusieurs appartiennent à des enfants.
Parmi les informations disponibles, figurent les noms des utilisateurs, leur adresse mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses. Les mots de passe sont chiffrés en SHA-1, explique le chercheur. Un protocole jugé insuffisamment sécurisé par les chercheurs.
Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires. Le hacker s’est pourtant abstenu de divulguer tous les détails pouvant aider des gens malintentionnés à compromettre les serveurs. Il conseille toutefois aux utilisateurs de changer rapidement leur mot de passe.
Qu’il s’agisse de VTech ou de Hello Kitty, le problème réside dans la mauvaise configuration de bases MongoDB. Chris Vickery a démontré la présence de cette faiblesse sur plusieurs sites : OkHello, une application de chat vidéo (2,6 millions de comptes) ; Slingo, un site de jeu en ligne (2,5 millions de comptes) ; iFit, une application de fitness (576 000 comptes) ; Vixlet, un réseau social (377 000 comptes), etc.
Un risque corroboré par John Matherly, créateur du moteur de recherche des objets connectés à Internet, Shodan.io. Ce spécialiste a scanné le web et a découvert au moins 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cybercriminels. John Matherly souligne par ailleurs que d’autres bases de données sont confrontées au même problème de configuration, comme Redis, CouchDB, Cassandra et Riak.
A lire aussi :
VTech et Hello Barbie : jouets connectés, enfants en danger
Piratage de VTech : des questions et des failles
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.