Pour gérer vos consentements :

Dommage pour les fans de Hello Kitty : 3,3 millions de comptes compromis

C’est le premier Noël où l’on prend vraiment conscience de la faiblesse des dispositifs de sécurité IT autour des jouets high-tech ou des services ludiques destinés aux enfants.

Après les déboires de VTech ou Hello Barbie, c’est au tour de Hello Kitty de se retrouver sous les feux des projecteurs pour des présumées lacunes en termes de protection des données personnelles.

Selon Silicon.fr, un chercheur en sécurité du nom de Chris Vickery (déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper) a déniché une faille dans une base de données MongoDB utilisée par plusieurs sites Internet liés au petit chaton adulé.

3,3 millions de comptes sont compromis, avec une proportion affectant des enfants.

Chris Vickery a trouvé une base de données du site SanrioTown.com ouverte à tous. C’est « la communauté officielle en ligne pour les fans de Sanrio » exploitée par la société japonaise qui a créé le personnage Hello Kitty.

Cette base agrège des données d’utilisateurs en provenance de 5 sites Internet connexes en lien avec l’univers Hello Kitty.

En plus de la base de données primaire, deux serveurs de back-up contenant des informations répliquées sont également affectées.

Parmi les informations dispersées figurent les noms des utilisateurs, les adresses e-mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses.

Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires.

Qu’il s’agisse de VTech ou de Hello Kitty, les failles recensées des dispositifs de sécurité IT seraient liées à un mauvaise configuration de bases MongoDB.

Les soupçons se confirment avec l’apport des travaux de John Matherly : en scannant le Web, le créateur d’un moteur de recherche des objets connectés à Internet (Shodan.io) a découvert 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cyber-criminels, précise Silicon.fr.

D’autres SGBD – comme Redis, CouchDB, Cassandra et Riak – seraient confrontées à des risques similaires de configuration inappropriée.

« 2015 aura décidément été une année chargée en matière de vols de données personnelles (VTech, WhatsApp, COP 21, Ashley Madison…) et justifie pleinement la volonté de l’Europe de faire en sorte que la protection des données soit une priorité pour les entreprises », commente Matthieu Dierick, Ingénieur avant-vente chez F5 Networks, dans une réaction envoyée à la presse.

(Crédit photo : Page Facebook Hello Kitty)

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago