אתר מעריצי הלו קיטי נפרץ – נגנבו פרטי מיליונים

פרצת אבטחה ב-Sanrio Town, אתר הקהילה הרשמי של מעריצי הלו קיטי (Hello Kitty), הביאה לדליפת הפרטים האישיים של כ-3.3 מיליון משתמשים, רבים מהם ילדות וילדים. פרטים אלה נמצאים במקומות שונים ברשת.

הפריצה התגלתה על ידי חוקר האבטחה כריס ויקרי, כך על פי הבלוג Salted Hash. הפרטים האישיים שדלפו כללו את השם האמיתי של המשתמשים, כתובת דואר אלקטרוני, סיסמת המשתמש, מין, יום הולדת, ארץ המוצא, רמזים לסיסמה – והתשובות שלהם. פרטי ימי ההולדת והסיסמאות היו מוצפנים, אלא שעל פי ויקרי, ניתן בקלות  לפענח אותם.

החשבונות של המשתמשים שפרטיהם נגנבו, נרשמו דרך האתרים הבאים: hellokitty.com; hellokitty.com.sg; hellokitty.com.my; hellokitty.in.th וכן mymelody.com. חוקרי אבטחה ציינו כי גם באתרים אלה קיים סיכון לדליפת נתונים אישיים.

בנוסף לבסיס הנתונים של Sanrio Town , ויקרי מצא גם שני שרתי גיבוי נוספים המכילים נתונים דומים. על פי הבלוג, התאריך המוקדם ביותר של חשיפת הנתונים היה ב-22 בנובמבר השנה.

המצב בתחום אבטחת המידע לא מספיק טוב

עדיין לא ברור אם הגישה למסד הנתונים או לשרתים עם המידע הדומה – נחסמה. Sanrio Town, החברה שמאחורי הלו קיטי, כבר הודיעה על הפריצה. ויקרי לא פרסם את מקום הימצאם של הנתונים, על מנת למנוע את המשך הדליפה.

חוקרי אבטחה המליצו למשתמשים לשנות את הסיסמאות לכאלו שאינן בשימוש באתרים אחרים, על מנת להגביר את האבטחה. הם גם המליצו למשתמשים לעקוב אחר פעילות כרטיסי האשראי שלהם.

אמילי אורטון, מנהלת בחברת הגנת הסייבר Darktrace, אמרה כי "חברות כגון Sanrio Town נדרשות בדחיפות לחשוב מחדש על הדרכים שהן מגנות על המידע והמוניטין שלהן". לדבריה, "המצב הקיים כיום בתחום אבטחת המידע הוא לא מספיק טוב. אנחנו יודעים שחברות מתמודדות עם איומים מתמשכים. עכשיו זה הזמן לעשות משהו בקשר לכך, ולחזק את מערכות הניטור הפנימיות בארגונים, על מנת לגלות את הפריצות קרוב ככל האפשר למועד התרחשותן".

בחודש שעבר פורסם כי מתקפת הסייבר על האפליקציה של חברת הצעצועים האלקטרוניים הסינית VTech, שנחשבת כמובילה עולמית בתחום צעצועי ההתפתחות והלמידה לילדים – חמורה יותר ממה שתואר בתחילה.

ההאקר שאחראי לפריצה, שהשיג מידע אישי של כמעט חמישה מיליון הורים שהם לקוחותיה של VTech ושל יותר מ-200 אלף ילדיהם, לקח בנוסף מאגר בהיקף של מאות ג'יגה-בייטים – שכלל תמונות פרופיל, קבצי אודיו ויומני צ'טים, שמרביתם שייכים לילדים.