Noël gâché pour les fans de Hello Kitty : 3,3 millions de comptes compromis

À cause d’une base de données ouverte à tous, les données de 3,3 millions de fans de Hello Kitty, notamment d’enfants, ont été compromises. Cela révèle une fois de plus les lacunes en matière de sécurité de certaines entreprises.

On critique souvent les utilisateurs pour leur manque de prise de conscience des risques du numérique, notamment lorsqu’il s’agit de choisir des mots de passe complexes différents pour chaque compte. Mais en fait, on oublie souvent de souligner que les entreprises, présentes sur le web, ne sont souvent pas beaucoup plus conscientes des risques en matière de sécurité informatique au sujet des données qu’elles possèdent, notamment des données personnelles des clients ou membres. C’est ce qui donne lieu à des piratages retentissant, avec des millions de données qui se retrouvent publiées sur le net. C’est ce qui arrive aujourd’hui avec Sanrio, par la société japonaise qui a créé le personnage Hello Kitty

Concrètement, le chercheur en sécurité Chris Vickery a découvert une base de données, sur les serveurs du site SanrioTown.com, qui était ouverte à tout le monde, donc avec des données accessibles par n’importe qui. En plus de la base de données principale, deux serveurs de sauvegarde contenant des copies répliquées de la base de données étaient pareillement exposés.

Cette faiblesse de la sécurité informatique de Sanrio est dramatique, car elle signifie que les données personnelles de 3,3 millions de fans du petit chaton ont été inutilement exposées, voir piratées. Cela concerne cinq sites en particulier : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th, et mymelody.com. Là où c’est grave, c’est que des données de nombreux enfants se sont retrouvées ainsi exposées. Les informations accessibles comprenaient les noms, les adresses e-mail, les mots de passe, le sexe, la date d’anniversaire, le pays d’origine, les questions secrètes et leurs réponses.

Chris Vickery indique avoir notifié le problème à Sanrio et à l’hébergeur des serveurs. Mais pour l’heure, ni l’un ni l’autre n’a fait de commentaire.

Une faille dans la configuration de MongoDB

La faille des sites de Hello Ketty serait en fait due à une mauvaise configuration des bases MongoDB. Le problème est récurrent vu que c’est le même problème qui a conduit au piratage du fabricant de jouets VTech. Plus grave encore, de nombreux autres sites seraient concernés par le même souci.

Selon John Matherly, qui a scanné le web, il y a 35 000 bases de données MongoDB qui ne seraient actuellement pas sécurisées, soit quelque 685 To de données mal protégées. De telles données ne sont malheureusement pas seulement à la portée des chercheurs en sécurité, mais aussi des cybercriminels à la recherche de cibles à pirater. Les autres SGBD (Redis, CouchDB, Cassandra, Riak, …) sont aussi confrontés au même genre de problèmes de configuration, des configurations inappropriées qui pourraient induire des vulnérabilités pour les données stockées.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentGoogle et Ford s’allient autour de la voiture autonome
Article suivantLe cadeau de Noël de Bouygues Telecom : du surf illimité 4G pour ses abonnés

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here