Hellno Kitty! Sanriotown-Datenbank gibt Daten von 3,3 Millionen Nutzern preis

artikel_hellokittyNachdem erst vor Kurzem ein Datenleck bei VTech für die Offenlegung von Millionen von Kundendaten verantwortlich war, gibt es nun die nächste Datenbank, die mit Daten von Nutzern auf sich aufmerksam macht. Der Vorfall betrifft sanriotown.com, Chris Vickery hat sie entdeckt. Von Vorteil ist hier sicher, dass er anscheinend keine Intention hat, die Daten zu veröffentlichen, allerdings hat er sie entdeckt und das heißt nun einmal, dass auch andere sie entdeckt haben könnten. Sanriotown.com ist die offizielle Online-Community für Hello Kitty und andere beliebte Charaktere.

Was wieder einmal besonders schlimm ist: die Daten sind nicht besonders gut geschützt. Wer die Datenbank hat, hat Zugriff auf Vor- und Nachname, Geburtstag (verschlüsselt, aber leicht knackbar), Geschlecht, Herkunftsland, unsalted SHA-1 Passwort-Hashes, Fragen bei vergessenem Passwort und deren Antworten. Gerade letztere Daten könnten Nutzer in Bedrängnis bringen, da man die Sicherheitsfragen eventuell über mehrere Webseiten verwendet. Was diese allerdings unverschlüsselt in einer Datenbank verloren haben, erklärt niemand.

Sanriotown.com ist aber nicht die einzige Webseite, die von diesem Vorfall betroffen ist. Auch wenn man sich über Fan-Portale registriert hat (hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th und mymelody.com), ist man in der Datenbank verzeichnet.

Solltet Ihr bei der Community angemeldet sein, überprüft bei anderen Diensten unbedingt, ob Ihr die gleichen Sicherheitsfragen verwendet und ändert diese gegebenenfalls. Gleiches gilt logischerweise, wenn Ihr das Passwort an mehreren Stellen verwendet (was Ihr eigentlich eh nicht tun solltet). Auch ist es ratsam – bei Diensten, die das anbieten – auf die 2-Faktor-Authentifizierung zu setzen. Hilft zwar bei einem Abhandenkommen der Datenbanken nur insofern, dass Angreifer mit dem Passwort allein nichts anfangen können, die persönlichen Daten werden aber trotzdem einsehbar sein, wenn ein Datenklau vorliegt.

Da sowohl Sanriotown als auch der ISP der Datenbank informiert sind, kann man hoffentlich davon ausgehen, dass die Daten künftig besser geschützt werden. Dass die Daten letztendlich noch in Umlauf kommen, kann allerdings ebenso möglich sein.

(Quelle: CSO)

hellokitty

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

2 Kommentare

  1. Ziemlich seltsame Sache. Habe ich heute auch schon drüber geschrieben. http://www.henning-uhle.eu/informatik/hello-kitty-private-informationen-von-kindern-oeffentlich

    Ich denke, man kann schon hier und da mal auf den Hersteller hören. Die wissen manchmal schon was.

  2. Schöner Tippfehler in der Überschrift: Hell No Kitty 🙂
    Schöne Feiertage