Hello Kitty, une base de données de 3,3 millions d’identifiants divulguée

publié par Laboratoires Antivirus Bitdefender, le 31 janvier 2017

En décembre 2015, le chercheur en sécurité Chris Vickery a révélé que des millions de fans du personnage Hello Kitty avaient été mis en danger après que la société mère, Sanrio, avait négligemment laissé traîner des informations sensibles de comptes sur une base de données MongoDB accessible au public.

 

 

Par chance, aucune donnée financière ne semble avoir été compromise. En revanche, parmi les informations qui ont été exposées figurent les noms des utilisateurs de sanriotown.com, leurs dates de naissance, leurs sexe, leurs pays d’origine, leurs adresses e-mail, leurs hachages de mots de passe en l’absence de salage, les questions-réponses permettant de retrouver leurs mots de passe ainsi que d’autres informations.

Une situation déjà suffisamment grave en temps normal, qui revêt un caractère particulièrement inquiétant lorsque l’on pense aux millions de jeunes fans de Hello Kitty dans le monde.

Toutefois, lorsque la compagnie japonaise Sanrio a sécurisé la configuration de sa base de données utilisateurs, l’entreprise a assuré aux parties concernées qu’elle ne pensait pas que des données avaient été dérobées :

« En outre, de nouvelles mesures de sécurité ont été appliquées au(x) serveur(s), et nous menons une enquête interne ainsi qu’un examen de sécurité concernant cet incident. Selon les informations dont l’entreprise dispose actuellement, aucune donnée n’a été volée ou exposée. »

Un an plus tard, il semblerait que l’optimisme ne soit plus d’actualité.

En effet, au début du mois de janvier, ainsi que le rapporte CSO Online, la base de données de 3 345 168 utilisateurs est apparue en ligne – ce qui laisse finalement entendre que quelqu’un a réussi à s’emparer des données bien mal protégées.

Parmi les dossiers, plus de 186 000 appartiennent à des utilisateurs de Sanrio âgés de moins de 18 ans.

Lorsque les faits sont apparus en 2015, Sanrio n’avait aucun élément permettant d’affirmer que les données avaient été dérobées. Toutefois, cela ne garantissait pas non plus que tout allait bien.

Alors, que peut-on faire ? En 2015, Sanrio avait conseillé à ses utilisateurs de modifier leurs mots de passe, la question qui subsiste alors est : combien ont entendu ce conseil et combien l’ont suivi ?

Bien entendu qu’il soit utilisé par un adulte ou un enfant sur les sites Internet de Sanrio, il est essentiel que le mot de passe ne serve pas également sur d’autres sites Internet. Les mots de passe ne peuvent être considérés comme sûrs à moins d’être à la fois difficiles à deviner et uniques.

C’est pour cette raison qu’il est fortement recommandé de recourir à l’utilisation extensive des gestionnaires de mots de passe ; ces logiciels se souviennent non seulement de vos mots de passe et les stockent de manière sécurisée, mais sont également capables d’en générer des complexes et véritablement aléatoires chaque fois que vous créez un nouveau compte en ligne.

Dans le même temps, les entreprises telles que Sanrio doivent prendre conscience de l’importance de sécuriser correctement leurs bases de données en ligne. Comme nous le constatons en ce moment, bien trop d’entreprises sécurisent mal leurs bases de données, les rendant accessibles à des utilisateurs non autorisés.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.