Chris Vickery venait tout juste de faire parler de lui en dévoilant une fuite de 13 millions d'informations personnelles d'utilisateurs de la solution MacKeeper via un accès public à une base de données. Le chercheur en sécurité a récidivé en découvrant cette fois-ci une base de données contenant les informations personnelles de 3,3 millions d'utilisateurs de Sanrio Town.
Cette communauté en ligne est intimement liée à une série de personnages populaires de Sanrio tels que Hello Kitty. La fuite de données a ainsi un impact sur d'autres sites : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com.
Les données compromises comprennent des noms et prénoms, sexe, pays d'origine, adresses email, des questions secrètes et leurs réponses ainsi que des mots de passe en SHA-1 (pas de protection supplémentaire avec du salage). En dépit de ce hachage, le risque demeure que les mots de passe puissent être cassés. D'autant que SHA-1 est considéré obsolète.
La fuite de données remonterait au 22 novembre 2015. A priori, pas de hack mais une mauvaise configuration du système de gestion de base de données MongoDB. Cela commence à devenir un peu trop fréquent… Le groupe japonais Sanrio a fait savoir que des investigations sont en cours.
Comme toujours en pareille situation, les utilisateurs doivent s'assurer qu'ils n'ont pas recours aux mêmes identifiants pour des comptes plus sensibles. A l'instar de l'intrusion dans les serveurs de VTech, le cas de Sanrio Town risque de susciter un certain émoi dans la mesure où il affecte des données d'enfants. Et en plus au moment de Noël.
