La información vulnerable en el sitio para fans de la popular gatita y otros personajes SanrioTown.com parece incluir la información de menores de 18 años.
Hello Kitty está en todas partes — en mochilas, camisetas y cuadernos. Y ahora ella también es la cara de un descuido en el manejo de datos personales que ha afectado a unas 3.3 millones de personas.
Los datos personales de los aficionados que se conectan a través de SanrioTown.com han estado expuestos abiertamente en Internet y son accesible fácilmente con sólo el clic de un ratón, dijo un investigador de seguridad durante el fin de semana.
SanrioTown.com, diseñado para los amantes de los personajes de Sanrio como Hello Kitty, recoge todas las cuentas de los usuarios para un juego popular llamadoHello Kitty Online.
Los datos accesible no se limitan a los nombres de los usuarios, sus direcciones de correo electrónico y las preguntas para sus contraseñas. También contiene el nombre de las personas, su fecha de nacimiento, género y otra información de identificación, dijo el investigador Chris Vickery.
Sanrio dijo que no crea cuentas para niños menores de 13 años de edad. Sin embargo, la información filtrada, que vino de usuarios de todo el mundo, parece incluir cuentas de jóvenes menores de 18 años.
No está claro cuántos datos relacionados con menores de edad fueron involucrados, por lo que esta noticia no se compara ni de cerca con elhackeo el mes pasado que involucró la información de 6 millones de niños de la compañía de software de juguetes VTech
Pero el descubrimiento de la vulnerabilidad en la información de SanrioTown muestra que no es necesario no tener hackers con conocimientos avanzados para violar la protección de información confidencial, incluyendo la de los niños.
Sanrio dijo en un comunicado que una “supuesta” violación está bajo investigación y que “la información estará disponible una vez confirmada”. Sanrio no confirmó la descripción del investigador sobre qué información fue puesta en peligro, ni tampoco respondió a una pregunta sobre si la información expuesta incluía la de menores de edad.
Vickery le mostró CNET una muestra de los registros que pudo ver, los cuales incluían una lista de los nombres de usuarios, contraseñas aún cifradas, nombres y apellidos, géneros, fechas de nacimiento y respuestas a las preguntas de seguridad como “¿Cuál es tu comida favorita?” En la muestra al azar de 15 expedientes dos parecían ser de menores de edad. Sanrio se negó a verificar si los datos eran una muestra de su base de datos.
Vickery dijo que encontró la base de datos mientras buscaba información no protegida en Internet después de haber estado buscando en un sitio Web donde se puede encontrar datos almacenados en la nube.
El investigador de seguridad es reconocido por encontrar información en Internet que no está protegida. A principios de este mes, descubrió la información de 13 millones de usuarios de la aplicación de seguridad MacKeeper. También encontró que más de 1 millón de documentos de una compañía de seguros quedaron sin protección por una compañía de procesamiento de pagos en septiembre.
Lo problemático acerca de la violación de SanrioTown es que nadie necesita habilidades de hacking avanzadas para encontrar y leer la información. Se puede encontrar a través de un sitio Web, Shodan.io, que busca los datos de la misma forma por la cual Google rastrea la Web, dijo Vickery.
Encontrar los datos aún conlleva un poco de investigación, agregó, pero con el tiempo y la curiosidad, cualquier persona con un navegador Web puede encontrarla.
Source:https://www.cnet.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad