Hello Kitty ha messo in pericolo i suoi fan, il server che conservava i dati degli iscritti al sito sanriotown.com era vulnerabile agli attacchi, ma il pericolo è passato: Sanrio, azienda che crea e produce personaggi dedicati ai più piccoli, ha riconosciuto il problema segnalato nei giorni scorsi dal ricercatore Chris Vickery, ha tentato di contenere le apprensioni degli utenti, ha garantito loro di aver messo i propri database in sicurezza.
Sanrio ha precisato di aver avviato un’indagine interna e di non essere a conoscenza di alcun elemento che suggerisca che le informazioni degli utenti di sanriotown.com “siano state rubate o rese pubbliche” da malintenzionati e ha specificato che l’accesso ai dati, reso possibile da una configurazione errata, sarebbe stato possibile solo a chi “conoscesse gli indirizzi IP delle specifiche macchine vulnerabili”.
Non cambia però la vastità dell’impatto della vulnerabilità: l’azienda conferma che ad essere investiti dal problema possono essere fino a 3,3 milioni di utenti, con i media che stimano il coinvolgimento di almeno 180mila bambini. Ad essere raggiungibili, riferisce ancora l’azienda giapponese, erano dati personali fra cui nomi e cognomi, date di nascita cifrate, sesso, nazionalità, indirizzi email, domande di sicurezza per accedere agli account e password cifrate con l’algoritmo SHA-1, che molti attori della Rete vorrebbero deporre perché considerato poco sicuro. A differenza da quanto segnalato da Vickery, sostiene l’azienda, solo gli utenti di sanriotown.com sarebbero stati esposti al rischio.
Sanrio ha provveduto ad avvertire gli utenti e a imporre un cambio di password sui propri servizi, non solo quelli di sanriotown.com , così da scongiurare pericoli attribuibili all’abitudine degli utenti di riciclare le chiavi d’accesso. L’azienda ha altresì assicurato di aver adottato misure di sicurezza aggiuntive sui propri server e di aver programmato delle analisi periodiche per valutarne l’efficacia.
Gaia Bottà