Hello Kitty数据库泄露 330万粉丝受影响

安全研究人员Chris Vickery早在2015年就发现了一份曝光的三丽鸥（Sanrio）数据库——他当时就将此发现上报给了Databreaches.net和Salted Hash。国外媒体报道称，这些一年前泄露的Hello Kitty数据库最近开始在网上流传，其中包含了Hello Kitty粉丝的330万用户记录。

上周末LeakedSource已确认三丽鸥MongoDB数据库的存在性——Vickery也确认LeakedSource曝光的这份数据和他一年前发现的数据一样。不仅sanriotown.com主站受影响，包括hellokitty.com、hellokitty.com.sg等粉丝入口都受影响。包括：

hellokitty.com;

hellokitty.com.sg;

hellokitty.com.my;

hellokitty.in.th;

mymelody.com.

专家注意到，其中有186,261份记录属于Sanrio 18岁以下的用户。

在发现时，Sanrio解释说，它不相信数据被盗。 现在相同的MongoDB数据库已经在网上浮出水面，330万条记录使Hello Kitty球迷面临风险。

周末，数据泄露通知服务LeakedSource确认，一个包含3,345,168万用户的Sanrio数据库已在线上显示。

泄露数据包含了用户姓名、性别、编码后的生日、国家、电子邮箱、SHA-1哈希密码，以及相应的答案、密码提示问题和其他信息等等。

Vickery证实，LeakedSource提供的数据与他一年多前发现的数据完全相同。

两个数据库之间的唯一区别是在LeakedSource记录中称为“incomeRange”的字段，它在原始归档中不存在。 “incomeRange”属性带有从0到150的值，但它仍然不清楚其含义。

Chris Vickery发现了许多其他在互联网上暴露的开放MongoDB的骇人听闻的案例。

2015年12月，安全专家在网上发现了1.91亿美国记录，在2016年4月，他还发现了一个132 GB的MongoDB数据库，在线打开，包含9340万墨西哥选民记录。

2016年3月，Chris Vickery在网上发现了Kinoptic iOS应用程序的数据库，该应用程序被开发者抛弃，详细信息超过198,000个用户。（网络、 翻译）

原文链接：http://securityaffairs.co/wordpress/55209/data-breach/hello-kitty-database-leaked.html