Προσωπικά στοιχεία για 3,3 εκατομμύρια λογαριασμούς από οπαδούς της Hello Kitty είναι διαθέσιμα στο διαδίκτυο, οι περισσότεροι εκ των οποίων πιθανόν να ανήκουν σε παιδιά, όπως είπε στο Salted Hash, ο ερευνητής που αποκάλυψε την παραβίαση.
Ο Chris Vickery ανακάλυψε ότι η βάση δεδομένων του sanriotown.com ήταν εύκολα προσβάσιμη online. Αυτή η βάση δεδομένων περιείχε συγκεντρωτικές πληροφορίες για τους χρήστες από διάφορες ιστοσελίδες που είχαν θέμα το Hello Kitty, όπως τα hellokitty.com, hellokitty.com.my, hellokitty.com.sg, hellokitty.in.th, mymelody.com και sanriotown.com.
Τα στοιχεία περιελάμβαναν πληροφορίες όπως το πραγματικό όνομα του χρήστη, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο κωδικός λογαριασμού, το φύλο, η ημερομηνία γέννησης, η χώρα προέλευσης, τα hints του κωδικού πρόσβασης και οι απαντήσεις τους. Από τα στοιχεία που εκτέθηκαν, οι λεπτομέρειες γενεθλίων ήταν κωδικοποιημένες και το string του κωδικού πρόσβασης ήταν κατακερματισμένο και αποθηκευμένο σε μορφή MD5 (εύκολο να σπάσει).
Ο ερευνητής λέει ότι ενημερώθηκε τόσο το Sanrio, ιδιοκτήτης της προσβεβλημένης ιστοσελίδας και της μάρκας Hello Kitty, αλλά και ο ISP στου οποίου τους διακομιστές φιλοξενήθηκε η βάση δεδομένων.
Επειδή η παράβαση αναφέρθηκε μέσα στο Σαββατοκύριακο και δεν φαίνεται να υπάρχει καμία απάντηση από τις δύο εταιρείες, ο Vickery απέφυγε την απελευθέρωση τυχόν στοιχείων που μπορεί να βοηθήσουν άλλους για να θέσουν σε κίνδυνο τους διακομιστές.
Νωρίτερα αυτή την εβδομάδα, ο Vickery ανέφερε παραβιάσεις δεδομένων για επιχειρήσεις και υπηρεσίες όπως τα MacKeeper, πωλητής ασφαλείας για Mac (13 εκατομμύρια λογαριασμοί), OkHello, video chat εφαρμογή (2,6 εκατομμύρια λογαριασμοί), Slingo, online υπηρεσία τυχερού παιχνιδιού (2,5 εκατομμύρια λογαριασμοί), iFit, εφαρμογή γυμναστηρίου (576.000 λογαριασμοί), Vixlet, κοινωνικό δίκτυο (377.000 λογαριασμοί), California Virtual Academies, online σχολικό δίκτυο (74.000 λογαριασμοί) και Hzone, εφαρμογή γνωριμιών για ασθενείς που πάσχουν από AIDs (5.027 λογαριασμοί).
Σε όλες αυτές τις περιπτώσεις, οι ελαττωματικές ρυθμίσεις του MongoDB ευθύνονται για όλες τις παραβάσεις. Λίγο μετά τις αποκαλύψεις του Chris Vickery, ο Chris Matherly, ιδιοκτήτης της Shodan, μια μηχανή αναζήτησης για συνδεδεμένες στο Internet συσκευές, έβγαλε μια έκθεση που δείχνει ότι δύο χρόνια μετά την πρώτη του έρευνα, υπήρχαν ακόμη 35.000 λανθασμένα ρυθμισμένες MongoDB βάσεις δεδομένων, καθώς είχανε διαρροή πάνω από 650 TB δεδομένων .
Την επόμενη ημέρα, ο κύριος Matherly κυκλοφόρησε και μια άλλη έκθεση που δείχνει ότι πάνω από 130.000 memcached servers και πάνω από 42.000 Redis database servers ήταν ευάλωτοι με τον ίδιο τρόπο.
Πριν από τρεις εβδομάδες, η VTech, μια κινεζική εταιρεία κατασκευής παιχνιδιών υπέστη και αυτή παραβίαση δεδομένων μέσω μιας από τις ηλεκτρονικές πύλες της. Τα δεδομένα για 4,8 εκατομμύρια γονικές εγγραφές και 6,7 εκατομμύρια λογαριασμοί παιδιών διέρρευσαν σε αυτό το περιστατικό. Την περασμένη εβδομάδα, στο Ηνωμένο Βασίλειο η αστυνομία συνέλαβε έναν ύποπτο γι’ αυτό το περιστατικό.
