サンリオの孫会社が出資する香港のSanrio Digitalは2015年12月22日、海外ファン向けサイト「サンリオタウン」の会員情報330万人分がインターネット上で誰でも閲覧できる状態であると指摘されていた事実を認め、公表した(関連記事:サンリオ、330万件の情報漏洩との報道に「調査中」と回答)。サンリオ広報によれば330万人のうち5万人は日本人という。Sanrio Digitalは対策を済ませ、現時点で盗まれたり悪用されたりした事実は無いとの調査結果を公表するとともに、「今回の事故を深く陳謝する」とした。
データを格納するサーバーのIPアドレスを知っていれば、誰でも最大330万人分の個人情報をインターネット上で閲覧できた状態だった。個人情報が含むのは、氏名、符号化された誕生日、性別、国籍、メールアドレス、暗号化されたパスワード、パスワードのヒントである。クレジットカード情報やその他の支払い情報は含まない。
Sanrio Digitalはサイト利用者にサンリオタウンのパスワードの変更を求める。他のWebサービスで同じパスワードやパスワードのヒントを使っている場合にも変更を呼びかけるとした。
原因はサーバーの設定ミス。設定を修正し、追加でセキュリティ対策も施し、今後は定期的なセキュリティのレビューも受けるという。この問題はセキュリティ研究科のクリス・ビッケリー氏が発見し、セキュリティニュースサイトのCSOonline.comが報じた。
[Sanrio Digitalの発表資料]
