Hello Kitty网站数据泄露 330万账户资料外泄

继VTech之后，另一个儿童服务供应商遭遇数据泄露事件。

Hello Kitty 330万粉丝账户的详细信息已被公布到网上，这些账户可能多数都属于儿童，研究人员之前称这些数据是加密存储的。

Chris Vickery发现 sanriotown.com 的数据库可以轻易从网络上访问到。这个数据库集中保存了各 Hello Kitty 主题网站的用户信息，这些网站包括 hellokitty.com，hellokitty.com.my，hellokitty.com.sg， hellokitty.in.th，mymelody.com，和sanriotown.com。

泄露的数据包括用户真实姓名，email地址，账户密码，性别，出生日期，籍贯，密码提示及答案。出生日期及密码被散列并以MD5格式存储（但易被破解）。

Vickery称他已经通知了Hello Kitty 网站及该品牌的拥有者Sanrio，以及托管这些数据库服务器的互联网服务提供商。

由于数据泄露发生在周末，并且这两家公司并没有给予任何回应，Vickery 帮助他们阻止了其他服务器的进一步信息泄露。

Vickery 透露超过20万账户信息于上周泄露

上周初，Vickery报告了多家公司及服务的数据泄露，如MacKeeper，Macs的安全厂商（1300万账户信息泄露）；OkHello，视频聊天app（260万账户信息泄露）；Slingo，在线游戏网站（250万账户信息泄露）；iFit，健身app（57.6万账户信息泄露）；Vixlet，社交网络（37.7万账户信息泄露）；California 虚拟学院，在线网络学校（7.4万账户信息泄露）以及Hzone，HIV患者的约会app（5027账户信息泄露）。

在上述事件中，所有的数据泄露都是由于对 MongoDB 的错误设置而引起的。在Chris Vickery 报告了这些事件之后，网络设备连接搜索引擎 Shodan 拥有者Chris Matherly，发布了一份报告。报告显示在他启动研究两年之后，仍然存在 35000 台配置不当的 MongoDB 数据库，泄露了超过 650TB 数据。

随后一天，Matherly 先生也公布了另一份报告，称超过13万的 Memcached 服务器以及超过4.2万台 Redis 数据库服务器同样是由于配置不当所以易被攻破。

就在三周之前，VTech，一家中国儿童玩具制造商也由于其中一个在线端口遭到了攻击。480万家长记录以及670万儿童账户在此次事件中被泄露。上周，英国警方逮捕了该案中的一名嫌疑人。

[文章来源：Softpedia,转载请注明来自威客安全]