Chris Vickery entdeckte die Datenbank online, indem er in der Computersuchmaschine Shodan nach offenen Datenbanken suchte. Zuerst entdeckte er vier IP-Adressen, die ihn zu einer MongoDB-Datenbank führten, und schließlich fand er die darin enthaltenen MacKeeper-Daten Die IP-Adressen, Softwarelizenzen und Aktivierungscodes der Benutzer sowie die gehashten Passwörter, Namen, Nummern und E-Mail-Adressen Adressen.
Empfohlene Videos
Es ist eigentlich ziemlich häufig um offene MongoDB-Datenbanken online zu finden. Es bleibt jedoch unklar, wie lange die MacKeeper-Datenbank geöffnet blieb. Entsprechend Brian KrebsLaut MacKeeper war die Datenbank aufgrund einer Serverfehlkonfiguration etwa eine Woche lang geöffnet, Vickery weist jedoch darauf hin, dass die Datenbank, die er gefunden hatte, zuletzt etwa Mitte November datiert war.
Am auffälligsten war, dass die Passwörter in der Datenbank nur mit dem Hashing-Algorithmus MD5 geschützt waren, was auch der Fall war in der Vergangenheit beklagt vom eigenen Ersteller als minderwertig und nicht mehr sicher eingestuft. Es gibt sogar MD5-Cracking-Tools online verfügbar, die nicht schwer zu finden sind. MacKeeper erzählte Forbes dass es derzeit auf den SHA512-Hashing-Algorithmus aktualisiert wird.
Vickery behauptet, er sei nicht in der Lage gewesen, Kromtech, das Unternehmen hinter MacKeeper, zu erreichen, um es auf die Mängel aufmerksam zu machen, so er ging zu Reddit um seine Entdeckung öffentlich zu machen, in der Hoffnung, die Aufmerksamkeit des Unternehmens zu erregen.
Kromtech hat inzwischen reagiert an Vickery und dankte ihm für seine Offenlegung. Das Unternehmen sagte, die Schwachstelle sei inzwischen behoben und werde eine interne Überprüfung durchführen.
„Wir haben diesen Fehler innerhalb weniger Stunden nach der Entdeckung behoben. Die Analyse unseres Datenspeichersystems zeigt, dass nur eine Person Zugriff erhalten hat … der Sicherheitsforscher selbst“, sagte Kromtech. „Wir haben mit Chris kommuniziert und er hat die Daten nicht weitergegeben oder unangemessen verwendet.“
Es scheint also, dass Vickery die einzige Person war, die von diesem potenziellen Verlust von Kundendaten wusste, und dass kein böswilliger Akteur Zugriff auf die Datenbank erlangte.
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
