À cause d’une base de données ouverte à tous, les données de 3,3 millions de fans de Hello Kitty, notamment d’enfants, ont été compromises. Cela révèle une fois de plus les lacunes en matière de sécurité de certaines entreprises.
On critique souvent les utilisateurs pour leur manque de prise de conscience des risques du numérique, notamment lorsqu’il s’agit de choisir des mots de passe complexes différents pour chaque compte. Mais en fait, on oublie souvent de souligner que les entreprises, présentes sur le web, ne sont souvent pas beaucoup plus conscientes des risques en matière de sécurité informatique au sujet des données qu’elles possèdent, notamment des données personnelles des clients ou membres. C’est ce qui donne lieu à des piratages retentissant, avec des millions de données qui se retrouvent publiées sur le net. C’est ce qui arrive aujourd’hui avec Sanrio, par la société japonaise qui a créé le personnage Hello Kitty
Concrètement, le chercheur en sécurité Chris Vickery a découvert une base de données, sur les serveurs du site SanrioTown.com, qui était ouverte à tout le monde, donc avec des données accessibles par n’importe qui. En plus de la base de données principale, deux serveurs de sauvegarde contenant des copies répliquées de la base de données étaient pareillement exposés.
Cette faiblesse de la sécurité informatique de Sanrio est dramatique, car elle signifie que les données personnelles de 3,3 millions de fans du petit chaton ont été inutilement exposées, voir piratées. Cela concerne cinq sites en particulier : hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th, et mymelody.com. Là où c’est grave, c’est que des données de nombreux enfants se sont retrouvées ainsi exposées. Les informations accessibles comprenaient les noms, les adresses e-mail, les mots de passe, le sexe, la date d’anniversaire, le pays d’origine, les questions secrètes et leurs réponses.
Chris Vickery indique avoir notifié le problème à Sanrio et à l’hébergeur des serveurs. Mais pour l’heure, ni l’un ni l’autre n’a fait de commentaire.
Une faille dans la configuration de MongoDB
La faille des sites de Hello Ketty serait en fait due à une mauvaise configuration des bases MongoDB. Le problème est récurrent vu que c’est le même problème qui a conduit au piratage du fabricant de jouets VTech. Plus grave encore, de nombreux autres sites seraient concernés par le même souci.
Selon John Matherly, qui a scanné le web, il y a 35 000 bases de données MongoDB qui ne seraient actuellement pas sécurisées, soit quelque 685 To de données mal protégées. De telles données ne sont malheureusement pas seulement à la portée des chercheurs en sécurité, mais aussi des cybercriminels à la recherche de cibles à pirater. Les autres SGBD (Redis, CouchDB, Cassandra, Riak, …) sont aussi confrontés au même genre de problèmes de configuration, des configurations inappropriées qui pourraient induire des vulnérabilités pour les données stockées.