Декабрь 2015 года выдался месяцем, богатым на утечки данных. Исследователь Крис Викери (Chris Vickery), ранее нашедший утечку пользовательских аккаунтов MacKeeper и тысячи баз MongoDB в открытом доступе, обнаружил еще одну проблему. Викери заметил, что под угрозой находятся фаны Hello Kitty, так как принадлежащий бренду сайт sanriotown.com небезопасен.
Похоже, о безопасности своих пользователей не заботился не только MacKeeper. Свободный доступ к данным 3,3 млн своих пользователей допустил и сайт sanriotown.com. Викери обнаружил, что БД комьюнити сконфигурированы неверно, а значит, никак не защищены. Любой желающий может получить информацию об именах пользователей, датах их рождения, национальности, email-адресах, а также доступ к секретным вопросам для смены пароля и несоленым SHA-1 хешам паролей.
Ситуация осложняется тем, что аккаунты sanriotown.com также подходят для сайтов hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th и mymelody.com. Кроме того, Викери обнаружил, что в интернет «смотрят» два сервера резервного копирования Sanriotown.
Эксперт уведомил о своей находке Sanriotown и хостинг-провайдера ресурса. Брешь была устранена довольно оперативно, и Викери уже подтвердил, что все три IP-адреса, демонстрировавшие данные пользователей всем желающим, уже приведены в норму. Sanrio воздерживается от официальных комментариев, лишь сообщает, что по факту найденной уязвимости проводится проверка.
Хотя утечка вышла сравнительно небольшой, сложно сказать, как долго неправильно настроенная база sanriotown.com раздавала пользовательские данные всем желающим. К тому же стоит учесть, что среди поклонников Hello Kitty множество детей и подростков.
Утечка Sanriotown похожа на недавний случай с производителем детских гаджетов Vtech. В конце ноября китайский производитель Video Technology (Vtech) подвергся атаке хакеров. Взломщики сумели похитить данные 11 млн пользователей, из которых 6,4 млн были детьми. К счастью, хакеры просто хотели привлечь внимание общественность к проблеме небезопасности Vtech и не собирались продавать украденную информацию.
Пострадавшим пользователям Sanriotown рекомендуют не пугаться и в качестве профилактики сменить пароли.
Фото: Ted Eytan
