На выходных стал доступен кэш данных 3,3 млн пользовательских аккаунтов Sanrio — материнской компании бренда Hello Kitty.

Об утечке стало известно еще в декабре, но тогда Sanrio отрицала, что в результате взлома были похищены учетные записи. Взлом произошел из-за ошибок в конфигурации MongoDB, обнаруженных исследователем Крисом Викери (Chris Vickery). Доступ к данным 3,3 млн пользователей не требовал аутентификации.

В воскресенье сайт LeakedSource, специализирующийся на публикации скомпрометированных баз данных, сообщил, что в результате утечки пострадали данные 3 345 168 пользователей. Сведения об утечке были опубликованы в рамках ежемесячного обновления сведений на сайте. В изначальных отчетах об утечке утверждается, что 186 261 скомпрометированный аккаунт принадлежит несовершеннолетним пользователям.

В понедельник Викери сообщил редакции Threatpost, что в Sanrio утверждают, будто единственный человек, имевший доступ к скомпрометированной базе, — это сам исследователь. В декабре в Sanrio были уверены, что больше никто не получал доступ к данным и не мог похитить учетные записи.

В распоряжении LeakedSource сейчас находятся те же данные, которые были обнаружены в ходе исследования Викери. Скомпрометированы имена и фамилии, даты рождения в зашифрованном виде, а также пол, страна происхождения пользователей, email-адрес, непосоленные пароли, хешированные SHA-1, вопросы для восстановления пароля и ответы на них. Любопытно, что данные также содержат информацию об уровне дохода со значениями от 0 до 150.

Ни Sanrio, ни LeakedSource не прокомментировали новость.

Компании и сервисы, использующие неправильно сконфигурированные базы MongoDB, в последнее время регулярно страдают от атак, в ходе которых киберпреступники удаляют базы данных, а затем требуют выкуп за их восстановление. За последние две недели количество подобных инцидентов увеличилось с 200 в декабре до 2 тыс. на начало прошлой недели. По данным блога Cisco System Continuum, количество скомпрометированных или похищенных баз данных в понедельник составило 27 тыс.

Категории: Хакеры