Ο Chris Vickery ανακάλυψε τη βάση δεδομένων online αναζητώντας ανοιχτές βάσεις δεδομένων στη μηχανή αναζήτησης υπολογιστή Shodan. Πρώτα, ανακάλυψε τέσσερις διευθύνσεις IP που τον οδήγησαν σε μια βάση δεδομένων MongoDB και τελικά βρήκε τα δεδομένα του MacKeeper με οι διευθύνσεις IP των χρηστών, οι άδειες λογισμικού και οι κωδικοί ενεργοποίησης μαζί με τους κατακερματισμένους κωδικούς πρόσβασης, τα ονόματα, τους αριθμούς και το email διευθύνσεις.
Προτεινόμενα βίντεο
είναι στην πραγματικότητα αρκετά συνηθισμένο για να βρείτε ανοιχτές βάσεις δεδομένων MongoDB online. Ωστόσο, παραμένει ασαφές πόσο καιρό έμεινε ανοιχτή η βάση δεδομένων MacKeeper. Σύμφωνα με Μπράιαν Κρεμπς, ο MacKeeper είπε ότι η βάση δεδομένων του έμεινε ανοιχτή για περίπου μια εβδομάδα λόγω εσφαλμένης ρύθμισης του διακομιστή, αλλά ο Vickery επισημαίνει ότι η βάση δεδομένων που βρήκε είχε ημερομηνία τελευταία φορά γύρω στα μέσα Νοεμβρίου.
Το πιο εντυπωσιακό είναι ότι οι κωδικοί πρόσβασης στη βάση δεδομένων προστατεύονταν μόνο με τον αλγόριθμο κατακερματισμού MD5, ο οποίος έχει αποδοκιμάστηκε στο παρελθόν από τον ίδιο τον δημιουργό του ως κατώτερο και μη ασφαλές. Υπάρχουν μάλιστα Εργαλεία πυρόλυσης MD5 διαθέσιμα στο διαδίκτυο, τα οποία δεν είναι δύσκολο να βρεθούν. είπε ο ΜακΚίπερ Forbes ότι αυτή τη στιγμή ενημερώνεται στον αλγόριθμο κατακερματισμού SHA512.
Ο Vickery ισχυρίζεται ότι δεν μπόρεσε να επικοινωνήσει με την Kromtech, την εταιρεία πίσω από την MacKeeper, για να την ειδοποιήσει για τα ελαττώματα, οπότε πήγε στο Reddit να δημοσιοποιήσει την ανακάλυψή του με την ελπίδα να τραβήξει την προσοχή της εταιρείας.
Η Kromtech έκτοτε ανταποκρίθηκε στον Βίκερυ και τον ευχαρίστησε για την αποκάλυψή του. Η εταιρεία είπε ότι η ευπάθεια έχει πλέον επιδιορθωθεί και θα πραγματοποιήσει εσωτερική αναθεώρηση.
«Διορθώσαμε αυτό το σφάλμα μέσα σε λίγες ώρες από την ανακάλυψη. Η ανάλυση του συστήματος αποθήκευσης δεδομένων μας δείχνει ότι μόνο ένα άτομο απέκτησε πρόσβαση… ο ίδιος ο ερευνητής ασφάλειας», δήλωσε η Kromtech. «Ήμασταν σε επικοινωνία με τον Chris και δεν έχει μοιραστεί ή χρησιμοποιήσει τα δεδομένα ακατάλληλα».
Φαίνεται λοιπόν ότι ο Vickery είναι το μόνο άτομο που γνώριζε αυτήν την πιθανή διαρροή δεδομένων πελατών και κανένας κακόβουλος παράγοντας δεν απέκτησε πρόσβαση στη βάση δεδομένων.
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.