Hellno Kitty! Sanriotown-Datenbank gibt Daten von 3,3 Millionen Nutzern preis

21. Dezember 2015 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

artikel_hellokittyNachdem erst vor Kurzem ein Datenleck bei VTech für die Offenlegung von Millionen von Kundendaten verantwortlich war, gibt es nun die nächste Datenbank, die mit Daten von Nutzern auf sich aufmerksam macht. Der Vorfall betrifft sanriotown.com, Chris Vickery hat sie entdeckt. Von Vorteil ist hier sicher, dass er anscheinend keine Intention hat, die Daten zu veröffentlichen, allerdings hat er sie entdeckt und das heißt nun einmal, dass auch andere sie entdeckt haben könnten. Sanriotown.com ist die offizielle Online-Community für Hello Kitty und andere beliebte Charaktere.

Was wieder einmal besonders schlimm ist: die Daten sind nicht besonders gut geschützt. Wer die Datenbank hat, hat Zugriff auf Vor- und Nachname, Geburtstag (verschlüsselt, aber leicht knackbar), Geschlecht, Herkunftsland, unsalted SHA-1 Passwort-Hashes, Fragen bei vergessenem Passwort und deren Antworten. Gerade letztere Daten könnten Nutzer in Bedrängnis bringen, da man die Sicherheitsfragen eventuell über mehrere Webseiten verwendet. Was diese allerdings unverschlüsselt in einer Datenbank verloren haben, erklärt niemand.

Sanriotown.com ist aber nicht die einzige Webseite, die von diesem Vorfall betroffen ist. Auch wenn man sich über Fan-Portale registriert hat (hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th und mymelody.com), ist man in der Datenbank verzeichnet.

Solltet Ihr bei der Community angemeldet sein, überprüft bei anderen Diensten unbedingt, ob Ihr die gleichen Sicherheitsfragen verwendet und ändert diese gegebenenfalls. Gleiches gilt logischerweise, wenn Ihr das Passwort an mehreren Stellen verwendet (was Ihr eigentlich eh nicht tun solltet). Auch ist es ratsam – bei Diensten, die das anbieten – auf die 2-Faktor-Authentifizierung zu setzen. Hilft zwar bei einem Abhandenkommen der Datenbanken nur insofern, dass Angreifer mit dem Passwort allein nichts anfangen können, die persönlichen Daten werden aber trotzdem einsehbar sein, wenn ein Datenklau vorliegt.

Da sowohl Sanriotown als auch der ISP der Datenbank informiert sind, kann man hoffentlich davon ausgehen, dass die Daten künftig besser geschützt werden. Dass die Daten letztendlich noch in Umlauf kommen, kann allerdings ebenso möglich sein.

(Quelle: CSO)

hellokitty


Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 8503 Artikel geschrieben.