Décidément, la période de Noël fait très mal aux jouets ! Après VTech, voici qu’un chercheur en sécurité tire la sonnette d’alarme concernant la vulnérabilité de plusieurs bases de données de sites Web liés aux jouets du japonais Sanrio.
C’est le chercheur en sécurité Chris Vickery qui alerte à propos de vulnérabilités concernant de nombreuses bases de données MongoDB officielles et tierces liées à la grande licence Hello Kitty détenu par le japonais Sanrio. Le sites pointés du doigt sont nombreux : sanriotown.com, hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th et mymelody.com. Au total, ce sont pas moins de 3,3 millions de comptes clients qui seraient vulnérables, et nombre d’entre eux appartiennent à des enfants.
Ces comptes sont composés des noms de famille, adresses mail, mots de passe, sexe, dates d’anniversaire, pays d’origine, questions secrètes et leurs réponses ainsi que des mots de passe hashés en SHA-1 (mieux que le MD5 mais vulnérable aux cracking sans usage de salt). Notons que c’est le même chercheur, désormais connu, qui avait alerté la semaine dernière de la vulnérabilité d’une base clients appartenant à l’antivirus MacKeeper.
Sanrio a été prévenu alors que les détails des vulnérabilités n’ont pas été divulgués afin de ne pas augmenter le risque d’attaque par des pirates. On peut toutefois s’attendre à ce que la cause soit un problème de configuration des bases MongoDB, comme ça avait déjà été le cas dans les affaires précédentes pour lesquelles Chris Vickery avait donné l’alerte. Actuellement, aucune mesure n’a été prise du côté de Sanrio, ni aucune réaction ou commentaire officiel. Le chercheur conseille aux utilisateurs de changer leurs mots de passe dans la foulée.
Aujourd’hui, Chris Vickery possède un important tableau de chasse en plus de MacKeeper et Sanrio, étant donné qu’il a réussi a démontré des vulnérabilités semblables sur plusieurs sites : OkHello, une application de chat vidéo (2,6 millions de comptes), Slingo, un site de jeu en ligne (2,5 millions de comptes), iFit, une application de fitness (576 000 comptes), Vixlet, un réseau social (377 000 comptes), et bien d’autres encore.
Dans la foulée, un autre chercheur en sécurité, John Matherly, atteste que le risque est bien réel, puisque ce dernier à découvert près de 35 000 bases de données MongoDB possédant des soucis de sécurité et donc, accessibles à de potentiels cybercriminels, ce qui représente pas moins de 685 To de données vulnérables ! La configuration de telles bases de données est donc critique.
Inutile de préciser qu’offrir un jouet connecté à vos enfants pour Noël s’avère être une mauvaise idée, particulièrement risquée… en effet, les hackers semblent prendre pour cible les jeux enfants cette année.
Sources : CSO Online, ZDNet, Silicon
Crédits images : Deviantart, CC 3.0