نقض داده‌های ۳.۳ میلیون هوادار شخصیت کارتونی «سلام کیتی»

پایگاه داده‌ی MongoDB متعلق به شخصیت کارتونی «سلام کیتی» یک سال قبل به‌طور برخط منتشر شد و در حال حاضر در سطح وب قابل دسترسی است. این پایگاه داده حاوی ۳.۳ میلیون رکورد مربوط به هواداران این شخصیت کارتونی است.

محقق امنیتی کریس ویکری در سال ۲۰۱۵ پایگاه داده‌ی شرکت Sanrio که به‌طور نامناسبی پیکربندی شده و در دسترس عموم قرار داشت را کشف کرد. در آذر ماه سال قبل، ویکری این کشف خود را به وب‌گاه‌های گزارش‌دهنده‌ی نقض داده همچون Databreaches.net و Salted Hash راائه کرد. Sanrio یک شرکت ژاپنی و خالق این شخصیت کارتونی است.

به گزارش ویکری تنها پایگاه داده‌ی وب‌گاه اصلی (sanriotown.com) تحت تأثیر قرار نگرفته و وب‌گاه‌های هواداری این شخصیت کارتونی نیز در معرض خطر است. این وب‌گاه‌ها عبارتند از:
hellokitty.com
hellokitty.com.sg
hellokitty.com.my
hellokitty.in.th
mymelody.com

به گزارش ویکری ۱۸۶۲۶۱ رکورد از این پایگاه داده متعلق به کاربران زیر ۱۸ سال Sanrio است. پس از کشف این پایگاه داده، شرکت Sanrio اعلام کرده فکر نمی‌کند این داده‌ها به سرقت رفته باشد. در حال حاضر پایگاه داده‌ی MongoDB به‌طور عمومی در سطح اینترنت قابل دسترسی است و رکوردهای ۳.۳ میلیون هوادار «سلام کیتی» در معرض خطر قرار گرفته است. آخر هفته، سرویس اطلاع‌رسانی نقض داده‌ی ویکی‌لیکس تأیید کرد که پایگاه داده‌ی Sanrio حاوی اطلاعات ۳۳۴۵۱۶۸ کاربر به‌طور عمومی منتشر شده است.

این رکوردهای اطلاعاتی حاوی نام و نام‌خانوادگی، جنسیت، تاریخ تولد، کشور، آدرس رایانامه، گذرواژه‌ی درهم‌سازی‌شده با SHA-۱، سؤال یادآوری گذرواژه به همراه پاسخ آن و سایر اطلاعات است. ویکری تأیید کرد رکوردهایی که توسط LeakedSource قابل دسترسی است همان اطلاعاتی است که او یک سال قبل کشف کرده بود.

ویکری وجود چندین پایگاه داده‌ی باز و قابل دسترسی MongoDB در اینترنت را هشدار داده است. در آذر ماه سال قبل، این محقق ۱۹۱ میلیون رکورد اطلاعاتی رأی‌دهندگان آمریکایی را گزارش داد. در فروردین ماه امسال نیز داده‌هایی بالغ بر ۱۳۲ گیگابایت از پایگاه داده‌ی MongoDB را کشف کرد که متعلق به ۹۳.۴ میلیون رأی‌دهنده‌ی مکزیکی بود.

در اسفندماه سال قبل ویکری پایگاه داده‌ی MongoDB متعلق به برنامه‌ی Kinoptic iOS را کشف کرد که توسط توسعه‌دهندگان به‌طور برخط به حال خود رها شده بود. این پایگاه داده حاوی اطلاعات و جزئیات شخصی ۱۹۸ هزار کاربر بود. چندی پیش ما نیز خبری مبنی بر پیکربندی نامناسب پایگاه داده‌های MongoDB را در همین وب‌گاه منتشر کرده بودیم.

خبرها حاکی از آن است که نفوذ به پایگاه داده‌ی MongoDB و تقاضای باج در حال حاضر رو به افزایش است و تنها در عرض یک روز ۲۷ هزار پایگاه داده مورد نفوذ واقع شده است. به گزارش متخصصان امنیتی، مهاجمان از داده‌های این پایگاه داده‌های برخط یک نسخه رونویس تهیه کرده و اطلاعات آن را حذف می‌کنند. در ادامه نیز برای برگرداندن اطلاعات پایگاه داده از مدیران باج درخواست می‌کنند.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.