La société Sanrio, qui a créé le personnage de Hello Kitty, a été alertée d'un incident sur sa base de données. Une mauvaise configuration a potentiellement exposé 3,3 millions de comptes, dont certains ont été ouverts par des enfants.

Après VTech, c’est au tour de Sanrio d’être dans la tourmente. La compagnie japonaise à l’origine du célèbre personnage Hello Kitty, qui est très apprécié des enfants, vient en effet de connaître un incident informatique qui a exposé des millions de données personnelles sur Internet. Au total, plus de 3,3 millions de comptes sont concernés.

C’est le site CSO, qui consacre son actualité à la sécurité informatique, qui est à l’origine de la révélation. Il a mis en lumière les découvertes de Chris Vickery, un expert américain qui a repéré une très importante vulnérabilité dans les serveurs opérés par la société nipponne. À l’origine du problème se trouve une base de données MongoDB mal configurée.

3,3 millions de comptes concernés

Celle-ci sert au site Sanrio Town, qui propose diverses activités aux visiteurs : des jeux, des quiz, des vidéos, des contenus à télécharger (fonds d’écran, thèmes, captures d’écran…) et un forum de discussion. Le site est clairement adressé aux enfants et aux adolescents, qui sont invités à s’inscrire sur Sanrio Town. Selon Chris Vickery, les informations suivantes étaient accessibles : prénom, nom, date de naissance, sexe, pays d’origine, adresse e-mail, question et réponse secrètes pour générer un nouveau mot de passe, date d’anniversaire (encodée mais facilement récupérable) et résultat du hachage du mot de passe par algorithme SHA-1, mais sans salage.

Les constatations de Chris Vickery ont été confirmées par Sanrio, qui a mis en ligne ce mardi un récapitulatif de la situation et détaillé les mesures qui ont été prises jusqu’à présent. Les vulnérabilités repérées par le chercheur sont aujourd’hui colmatées et une enquête interne a été diligentée pour tirer tous les enseignements de cette affaire.

« Nous avons installé des mécanismes de sécurité supplémentaires sur nos serveurs. Nous allons procéder à un examen périodique de ces mesures de sécurité », ajoute l’entreprise, qui signale que les informations de cette base de données n’étaient pas partagées avec d’autres services de Sanrio.

Rien ne prouve que les données exposées ont été copiées par une personne malveillante.

Sanrio ajoute que la base de données ne contient aucune donnée bancaire. En outre, l’algorithme de hachage SHA-1 a l’avantage de protéger les mots de passe même après un piratage. Toutefois, la prudence a poussé Sanrio à prendre contact avec ses utilisateurs pour les inviter à changer de mot de passe et à s’assurer que le précédent n’a pas été utilisé ailleurs, auquel il faudra aussi faire une mise à jour.

Une question demeure : quelqu’un a-t-il dérobé tout ou partie des 3,3 millions de comptes exposés ? En théorie, une personne connaissant les adresses IP exactes des serveurs vulnérables aurait pu accéder aux données qui sont stockées dessus. Mais Sanrio déclare n’avoir aucun élément permettant de dire que la base de données a été copiée. Il faut en tout cas l’espérer vu l’audience très jeune de Sanrio Town.

Partager sur les réseaux sociaux

Articles liés