ฐานข้อมูล Hello Kitty รั่ว แฟนคลับกว่า 3.3 ล้านได้รับผลกระทบ

สุดสัปดาห์ที่ผ่านมา ข้อมูลส่วนบุคคลของผู้ใช้กว่า 3.3 ล้านคนจากฐานข้อมูลของ Sanrio เจ้าของลิขสิทธิ์ Hello Kitty รั่วไหลสู่สาธารณะ คาดสาเหตุมาจากปัญหาการตั้งค่าไม่มั่นคงปลอดภัยขณะติดตั้ง MongoDB ที่ค้นพบโดย Chris Vickery

การเจาะระบบเพื่อขโมยข้อมูลถูกรายงานครั้งแรกเมื่อเดือนธันวาคม 2015 แต่ทาง Sanrio ปฏิเสธว่าไม่มีข้อมูลสูญหายจากการเจาะระบบดังกล่าว อย่างไรก็ตาม เมื่อวันอาทิตย์ที่ผ่านมา LeakedSource เว็บไซต์ชื่อดังที่รวบรวมข้อมูลที่ถูกขโมยเผยแพร่สู่สาธารณะ ออกมาระบุว่า ฐานข้อมูลลูกค้ารวม 3,345,168 คนของ Sanrio ถูกเปิดเผย ซึ่งมีข้อมูลเด็กอายุต่ำกว่า 18 รวม 186,261 รายการ

ข้อมูลที่หลุดออกมาประกอบด้วยชื่อนามสกุลของผู้ใช้ วันเกิด เพศ ประเทศที่อยู่ อีเมล ชื่อผู้ใช้ รหัสผ่านที่ถูกแฮช คำถามเมื่อลืมรหัสผ่านและคำตอบ นอกจากนี้ยังมีฟิลด์ข้อมูลที่ชื่อว่า “incomeRange” แต่น่าแปลกตรงที่ข้อมูลอยู่ระหว่าง 0 – 150 ข้อมูลที่ปรากฏบน LeakedSource นี้ตรงกับที่ Vickery ค้นพบ ซึ่งทาง Sanrio อ้างว่าเขาเป็นคนเดียวที่มีสิทธิ์เข้าถึงฐานข้อมูลในช่วงไม่กี่สัปดาห์ที่ผ่านมา และไม่พบว่ามีการบุกรุกจากภายนอกแต่อย่างใด

Vickery ระบุว่า ฐานข้อมูลผู้ใช้กว่า 3.3 ล้านคนที่รั่วไหลออกมานี้ มาจากบริการออนไลน์หลายอย่างของ Sanrio ซึ่งต้นตอสาเหตุมาจากการที่ฐานข้อมูลถูกจัดเก็บโดยใช้การตั้งค่า MongoDB ที่ไม่มีการระบุ Credential ในการเข้าถึง

ที่มา: https://threatpost.com/hello-kitty-database-of-3-3-million-breached-credentials-surfaces/122932/