Plus Noël approche, plus la sécurité des bases de données de sociétés spécialisées dans le divertissement des enfants pose question. Après VTech ou Hello Barbie, c’est au tour de Sanrio d’être montré du doigt. Si le nom de la société ne vous dit rien, sa licence vous parlera certainement plus : Hello Kitty.
Un chercheur, Chris Vickery, déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper, a trouvé une base de données du site sanriotown.com ouverte à tous. Cette base contient des données agrégées d’utilisateurs de plusieurs sites périphériques : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. En plus de la base de données primaire, deux serveurs de backup contenant des informations répliquées sont également concernés par la faille. Au total, 3,3 millions de comptes sont menacés par cette exposition, dont plusieurs appartiennent à des enfants.
Parmi les informations disponibles, figurent les noms des utilisateurs, leur adresse mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses. Les mots de passe sont chiffrés en SHA-1, explique le chercheur. Un protocole jugé insuffisamment sécurisé par les chercheurs.
Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires. Le hacker s’est pourtant abstenu de divulguer tous les détails pouvant aider des gens malintentionnés à compromettre les serveurs. Il conseille toutefois aux utilisateurs de changer rapidement leur mot de passe.
Qu’il s’agisse de VTech ou de Hello Kitty, le problème réside dans la mauvaise configuration de bases MongoDB. Chris Vickery a démontré la présence de cette faiblesse sur plusieurs sites : OkHello, une application de chat vidéo (2,6 millions de comptes) ; Slingo, un site de jeu en ligne (2,5 millions de comptes) ; iFit, une application de fitness (576 000 comptes) ; Vixlet, un réseau social (377 000 comptes), etc.
Un risque corroboré par John Matherly, créateur du moteur de recherche des objets connectés à Internet, Shodan.io. Ce spécialiste a scanné le web et a découvert au moins 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cybercriminels. John Matherly souligne par ailleurs que d’autres bases de données sont confrontées au même problème de configuration, comme Redis, CouchDB, Cassandra et Riak.
A lire aussi :
VTech et Hello Barbie : jouets connectés, enfants en danger
Piratage de VTech : des questions et des failles
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…