Après VTech, c’est au tour de Sanrio d’être dans la tourmente. La compagnie japonaise à l’origine du célèbre personnage Hello Kitty, qui est très apprécié des enfants, vient en effet de connaître un incident informatique qui a exposé des millions de données personnelles sur Internet. Au total, plus de 3,3 millions de comptes sont concernés.
C’est le site CSO, qui consacre son actualité à la sécurité informatique, qui est à l’origine de la révélation. Il a mis en lumière les découvertes de Chris Vickery, un expert américain qui a repéré une très importante vulnérabilité dans les serveurs opérés par la société nipponne. À l’origine du problème se trouve une base de données MongoDB mal configurée.
[floating-quote float= »right »]3,3 millions de comptes concernés[/quote]
Celle-ci sert au site Sanrio Town, qui propose diverses activités aux visiteurs : des jeux, des quiz, des vidéos, des contenus à télécharger (fonds d’écran, thèmes, captures d’écran…) et un forum de discussion. Le site est clairement adressé aux enfants et aux adolescents, qui sont invités à s’inscrire sur Sanrio Town. Selon Chris Vickery, les informations suivantes étaient accessibles : prénom, nom, date de naissance, sexe, pays d’origine, adresse e-mail, question et réponse secrètes pour générer un nouveau mot de passe, date d’anniversaire (encodée mais facilement récupérable) et résultat du hachage du mot de passe par algorithme SHA-1, mais sans salage.
Les constatations de Chris Vickery ont été confirmées par Sanrio, qui a mis en ligne ce mardi un récapitulatif de la situation et détaillé les mesures qui ont été prises jusqu’à présent. Les vulnérabilités repérées par le chercheur sont aujourd’hui colmatées et une enquête interne a été diligentée pour tirer tous les enseignements de cette affaire.
« Nous avons installé des mécanismes de sécurité supplémentaires sur nos serveurs. Nous allons procéder à un examen périodique de ces mesures de sécurité », ajoute l’entreprise, qui signale que les informations de cette base de données n’étaient pas partagées avec d’autres services de Sanrio.
Rien ne prouve que les données exposées ont été copiées par une personne malveillante.
Sanrio ajoute que la base de données ne contient aucune donnée bancaire. En outre, l’algorithme de hachage SHA-1 a l’avantage de protéger les mots de passe même après un piratage. Toutefois, la prudence a poussé Sanrio à prendre contact avec ses utilisateurs pour les inviter à changer de mot de passe et à s’assurer que le précédent n’a pas été utilisé ailleurs, auquel il faudra aussi faire une mise à jour.
Une question demeure : quelqu’un a-t-il dérobé tout ou partie des 3,3 millions de comptes exposés ? En théorie, une personne connaissant les adresses IP exactes des serveurs vulnérables aurait pu accéder aux données qui sont stockées dessus. Mais Sanrio déclare n’avoir aucun élément permettant de dire que la base de données a été copiée. Il faut en tout cas l’espérer vu l’audience très jeune de Sanrio Town.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.