Abo
  • Services:

Hello Kitty: Kinderdaten ungeschützt im Netz

Eine MongoDB-Datenbank mit den privaten Informationen zahlreicher Hello-Kitty-Fans wurde veröffentlicht. Vor allem Kinder dürften davon betroffen sein - und sollten ihre Passwörter bei anderen Diensten überprüfen.

Artikel veröffentlicht am ,
Hello-Kitty-Fans müssen sich unter Umständen neue Passwörter ausdenken.
Hello-Kitty-Fans müssen sich unter Umständen neue Passwörter ausdenken. (Bild: Carlo Allegri/Reuters)

Eine Datenbank mit Informationen zahlreicher Hello-Kitty-Fans ist offenbar mit einfachen Mitteln aus dem Netz einsehbar. Die Datenbank enthält unter anderem eine Hello-Kitty-Fancommunity, rund drei Millionen Zugänge sollen betroffen sein. Die Webseite dient auch als Accountverwaltung für andere Hello-Kitty-Portale, demnach könnten auch Nutzer betroffen sein, die nicht direkt bei Sanriotown.com angemeldet sind

Stellenmarkt
  1. Hella Gutmann Solutions GmbH, Ihringen
  2. Hella Gutmann Solutions GmbH, Ihringen bei Freiburg im Breisgau

Der Hacker Chris Vickery schrieb, die Daten seien einfach zugänglich - vermutlich wegen einer falsch konfigurierten MongoDB-Datenbank. Aus den Berichten von CSO und Softpedia geht nicht eindeutig hervor, ob Vickery selbst eine verwundbare Datenbank auf den Servern von Sanrio fand oder ob er eine geleakte Kopie der Datenbank einsehen konnte.

Vickery hatte Databreaches.net und CSO über den Datenfund informiert. Diese haben die Daten verifiziert, sehen aber von einer Veröffentlichung von Details wie Screenshots ab, um eine Identifizierung der Datenbank durch Kriminelle zu unterbinden. Nach Angaben von CSO wurde der Diensteanbieter, bei dem die geleakte Datenbank gehostet wurde, und auch Sanrio selbst informiert. Sanrio ist das Unternehmen, das unter anderem die Hello-Kitty-Produkte veröffentlicht.

In den Daten sollen sich Namen, Geburtsdaten, Geschlecht, Herkunftsland, E-Mail-Adressen sowie die ungesalzenen, mit SHA-1 gehashten Passwörter befinden. Außerdem wurden auch die Passwortfragen und Antworten veröffentlicht. Die Geburtsdaten sollen codiert gespeichert sein, der Klartext soll aber nach Angaben von Vickery leicht wiederherstellbar sein. Betroffen sind auch Fans, die Nutzerprofile auf den Webseiten hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th und mymelody.com angelegt haben. Eltern, deren Kinder auf einer der Seiten registriert sind, sollten schnell Passwörter ändern, falls diese doppelt verwendet wurden.

Falsch konfigurierte Datenbank?

Details zu dem Angriff gibt es bislang keine. Nach Angaben von Datebreaches.com handelt es sich bei dem Datensatz jedoch um eine MongoDB-Datenbank. Die in der vergangenen Woche veröffentlichte Datenbank der Software MacKeeper basierte ebenfalls auf MongoDB - Forscher warnten schon da vor weiteren Angriffen, weil mehr als 35.000 MongoDB-Datenbanken eingehende Verbindungen auf Port 27101 zulassen würden. Eine Shodan-Suche gibt eine Auflistung verwundbarer Installationen, die sich dann mit Werkzeugen wie Mongovue anzeigen lassen. Es ist demnach nicht unwahrscheinlich, dass die Sanrio-Datenbank ebenfalls falsch konfiguriert wurde. Gegen entsprechende Verwundbarkeiten gibt es Checklisten des Herstellers.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. 9,99€

Freiberufler 21. Dez 2015

...vor der bereits vor einem halben Jahr gewarnt wurde, dass über 30.000 MongoDB...

Makatu 21. Dez 2015

Na ja, Hello-Kitty-Fans dürften nur vermindert bzw. überhaupt nicht geschäftsfähig...


Folgen Sie uns
       


Volocopter auf der Cebit 2018 angesehen

Im autonomen Volocopter haben zwei Personen mit zusammen höchstens 160 Kilogramm Platz - wir haben uns auf der Cebit 2018 trotzdem reingesetzt.

Volocopter auf der Cebit 2018 angesehen Video aufrufen
Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
Deutsche Siri auf dem Homepod im Test
Amazon und Google können sich entspannt zurücklehnen

In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
Ein Test von Ingo Pakalski

  1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
  2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
  3. Digitaler Assistent Apple will Siri verbessern

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

    •  /