BFM Business

Hello Kitty promet une enquête sur la sécurité de ses comptes client

-

- - Javier Mediavilla Ezquibela (Creative Common)

La marque japonaise a laissé traîner plus de 3,3 millions de données personnelles sur le web, en raison d'une base de données mal configurée.

Après VTech, c'est au tour d'une autre marque pour enfants de se faire remarquer, à savoir Hello Kitty. Il y a quelques jours, le site CSOonline.com a révélé que le chercheur en sécurité Chris Vickery avait détecté une base de données mal configurée, permettant l'accès à plus de 3,3 millions de données personnelles. Il s'agit de comptes utilisateurs de sanriotown.com, un site communautaire officiel de la marque qui donne accès à de petits jeux en ligne, à une messagerie, à des blogs, etc. Le chercheur a également détecté des comptes liés à d'autres sites de la galaxie Hello Kitty, tels que hellokitty.com, hellokitty.com.sg, hellokitty.in.th ou mymelody.com

Parmi les données personnelles accessibles figurent le nom, le prénom, la date de naissance, le sexe, la nationalité, l'adresse email, les questions de sécurité et leurs réponses, ainsi qu'une version hachée du mot de passe. Mais ce condensat a, semble-t-il, été créé sans "sel de hachage", une procédure cryptographique qui sécurise davantage le mot de passe que l'on souhaite cacher. Il n'est donc pas impossible que tous ces mots de passe aient, depuis, été cassés. Les utilisateurs de ces sites sont donc invités à ne plus utiliser les mots de passe en question.

Une technologie mal maîtrisée

L'entreprise japonaise Sanrio, propriétaire de la marque Hello Kitty, n'a donné aucune information complémentaire à ce sujet. Elle a simplement expliqué qu'elle allait enquêter sur "cette faille de sécurité présumée" et qu'elle allait publier des informations prochainement. CSOonline.com a précisé que la base de données en question était de type MongoDB. Cette technologie – assez récente – est de plus en plus souvent impliquée dans des pertes de données personnelles car elle n'est pas correctement mise en œuvre.

Ainsi, il y a quelques jours, Chris Vickery a détecté une base de ce type en accès libre sur le web, à savoir celle du logiciel utilitaire MacKeeper. En février 2015, trois étudiants allemands avaient même identifié près de 40.000 bases de données MongoDB en accès libre sur le web, dont celle d'un opérateur télécoms français contenant plus de 8 millions de données clients.