Le propriétaire de Sanrio Town ne s'était pas encore exprimé à ce sujet. Aujourd'hui, Sanrio Digital confirme dans un avis de sécurité la trouvaille du chercheur Chris Vickery. Jusqu'à 3,3 millions de membres de sa communauté en ligne ont pu être affectés par une vulnérabilité de sécurité.
Chris Vickery avait évoqué une fuite de données avec un impact sur d'autres sites tels que hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th, mymelody.com et donc principalement les jeunes fans de Hello Kitty.
Sanrio Town valide l'hypothèse d'une mauvaise configuration serveur (a priori avec la base de données MongoDB) mais estime que les données personnelles exposées n'ont été visibles que pour Chris Vickery. Elles n'auraient pas été obtenues par des tiers mal intentionnés.
L'avenir proche dira si c'est effectivement bien le cas, sachant que la faille était tout de même présente depuis un mois. Cette vulnérabilité a priori non exploitée a été comblée. Les données personnelles qui ont pu être accessibles sont des noms et prénoms, dates d'anniversaire (chiffrées), sexe, pays d'origine, adresses email, indications pour se rappeler un mot de passe, mots de passe en SHA-1 (hashs).
Sanrio Digital conseille aux utilisateurs de Sanrio Town de modifier leurs mots de passe, ainsi que sur d'autres services et comptes en ligne si les mêmes y sont utilisés, et indique avoir mis en place des mécanismes de protection supplémentaires sur ses serveurs.
