Dommage pour les fans de Hello Kitty : 3,3 millions de comptes compromis

C’est le premier Noël où l’on prend vraiment conscience de la faiblesse des dispositifs de sécurité IT autour des jouets high-tech ou des services ludiques destinés aux enfants.

Après les déboires de VTech ou Hello Barbie, c’est au tour de Hello Kitty de se retrouver sous les feux des projecteurs pour des présumées lacunes en termes de protection des données personnelles.

Selon Silicon.fr, un chercheur en sécurité du nom de Chris Vickery (déjà à l’origine de la découverte d’un défaut de protection des données personnelles par Mackeeper) a déniché une faille dans une base de données MongoDB utilisée par plusieurs sites Internet liés au petit chaton adulé.

3,3 millions de comptes sont compromis, avec une proportion affectant des enfants.

Chris Vickery a trouvé une base de données du site SanrioTown.com ouverte à tous. C’est « la communauté officielle en ligne pour les fans de Sanrio » exploitée par la société japonaise qui a créé le personnage Hello Kitty.

Cette base agrège des données d’utilisateurs en provenance de 5 sites Internet connexes en lien avec l’univers Hello Kitty.

En plus de la base de données primaire, deux serveurs de back-up contenant des informations répliquées sont également affectées.

Parmi les informations dispersées figurent les noms des utilisateurs, les adresses e-mail, les mots de passe des comptes, le sexe, la date d’anniversaire, le pays d’origine, les questions de réinitialisation de mot de passe et les réponses.

Chris Vickery annonce avoir notifié le problème à Sanrio, mais aussi à l’hébergeur des serveurs. Pour l’instant, les deux sociétés n’ont pas apporté de commentaires.

Qu’il s’agisse de VTech ou de Hello Kitty, les failles recensées des dispositifs de sécurité IT seraient liées à un mauvaise configuration de bases MongoDB.

Les soupçons se confirment avec l’apport des travaux de John Matherly : en scannant le Web, le créateur d’un moteur de recherche des objets connectés à Internet (Shodan.io) a découvert 35 000 bases de données MongoDB insécurisées. Soit environ 685 To de données à la portée des cyber-criminels, précise Silicon.fr.

D’autres SGBD – comme Redis, CouchDB, Cassandra et Riak – seraient confrontées à des risques similaires de configuration inappropriée.

« 2015 aura décidément été une année chargée en matière de vols de données personnelles (VTech, WhatsApp, COP 21, Ashley Madison…) et justifie pleinement la volonté de l’Europe de faire en sorte que la protection des données soit une priorité pour les entreprises », commente Matthieu Dierick, Ingénieur avant-vente chez F5 Networks, dans une réaction envoyée à la presse.

(Crédit photo : Page Facebook Hello Kitty)