Nutzerdaten von Millionen Hello-Kitty-Fans waren öffentlich abrufbar
Ein Sicherheitsforscher ist auf eine öffentlich zugängliche Datenbank mit Daten von 3,3 Millionen Nutzern des Hello-Kitty-Portals Sanriotown.com gestoßen. Zwischenzeitlich sollen aber keine Nutzerdaten abgezogen worden sein.
(Bild: Christian Lau, CC BY 2.0)
Eine nicht ausreichend abgesicherte MongoDB-Datenbank mit Eingträgen von 3,3 Millionen Forenmitgliedern des Hello-Kitty-Portals Sanriotown.com war für jedermann abrufbar. Das hat der Sicherheitsforscher Chris Vickery herausgefunden. Der Zugriff soll für alle möglich gewesen sein, die die IP-Adresse kannten.
Die Betreiber der Webseite versichern, dass die Datenbank nun sicherer konfiguriert ist. Zudem sollen keine Nutzerdaten im Umlauf sein. In der Datenbank befinden sich den Verantwortlichen zufolge etwa E-Mail-Adressen, Namen und Passwörter der Forenmitglieder. Die Passwörter sollen mit SHA-1 gehasht auf den Servern vorliegen. Auch Sicherheitsfragen zum Zurücksetzen von Passwörtern sollen einsehbar gewesen sein. Die Betreiber des Forums empfehlen Nutzern ihr Passwort zu ändern.
Offene MongoDB-Datenbanken schon länger ein Problem
Vickery geht davon aus, dass auch Webseiten wie etwa hellokitty.com und mymelody.com von dem Problem betroffen sind.
Vergangene Woche warnte John Matherly, der Schöpfer von Shodan, der Suchmaschine für Systeme, die über das Internet erreichbar sind, vor 35.000 offenen Mongo-DB-Datenbanken im Internet. Anfang des Jahres war noch von 40.000 die Rede. (des)
